Regeringskansliets rättsdatabaser

Regeringskansliets rättsdatabaser innehåller lagar, förordningar, kommittédirektiv och kommittéregistret.

Testa betasidan för Regeringskansliets rättsdatabaser

Söker du efter lagar och förordningar? Testa gärna betasidan för den nya webbplatsen för Regeringskansliets rättsdatabaser.

Klicka här för att komma dit

 
Post 2708 av 7191 träffar
Propositionsnummer · 2011/12:176 · Hämta Doc · Hämta Pdf
Behandling av personuppgifter vid Institutet för arbetsmarknads-
Ansvarig myndighet: Arbetsmarknadsdepartementet
Dokument: Prop. 176
Regeringens proposition 2011/12:176 Behandling av personuppgifter vid Institutet för arbetsmarknads- Prop. 2011/12:176 och utbildningspolitisk utvärdering Regeringen överlämnar denna proposition till riksdagen. Stockholm den 6 september 2012 Fredrik Reinfeldt Hillevi Engström (Arbetsmarknadsdepartementet) Propositionens huvudsakliga innehåll Propositionen innehåller förslag till en ny lag om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU). Lagen ska tillämpas i sådan verksamhet hos IFAU som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Lagen innehåller bl.a. bestämmelser om berättigade ändamål för personuppgiftsbehandlingen, vilka person- uppgifter som får behandlas och hur uppgifterna får behandlas. Den nya lagen föreslås träda i kraft den 1 januari 2013 och gälla till och med den 31 december 2015. 2011/12:176 2 Innehållsförteckning 1 Förslag till riksdagsbeslut .................................................................3 2 Förslag till lag om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ........................................................................................4 3 Ärendet och dess beredning ..............................................................7 4 Bakgrund...........................................................................................7 4.1 Institutet för arbetsmarknads- och utbildningspolitisk utvärdering...........................................7 4.2 Skyddet för den personliga integriteten............................10 4.3 Sekretess...........................................................................15 5 En ny lag om behandling av personuppgifter hos IFAU .................17 5.1 Behovet av en särskild registerlag ....................................17 5.2 Lagens tillämpningsområde .............................................20 5.3 Undantag från rätten att motsätta sig behandling .............22 5.4 Förhållandet till personuppgiftslagen ...............................24 5.5 Personuppgiftsansvar .......................................................26 5.6 Ändamålen för personuppgiftsbehandling vid IFAU .......26 5.7 Elektroniskt utlämnande ...................................................32 5.8 Känsliga personuppgifter .................................................34 5.9 Samlingar av avidentifierade personuppgifter ..................39 5.10 Samlingar av personuppgifter i övrigt ..............................45 5.11 Begränsningar i behandlingen av personuppgifter ...........47 5.11.1 Förbud mot behandling i syfte att identifiera enskilda personer............................47 5.11.2 Begränsning av sökmöjligheterna ...................47 5.11.3 Sambearbetning av personuppgifter ................49 5.11.4 Tillgången till personuppgifter ........................51 5.12 Gallring ............................................................................53 5.13 Enskildas rättigheter .........................................................57 5.13.1 Information till den registrerade i form av registerutdrag...................................................57 5.13.2 Rättelse eller skadestånd..................................59 6 Ikraftträdande ..................................................................................60 7 Konsekvenser ..................................................................................61 7.1 Konsekvenser av att genomföra förslagen........................61 7.2 Konsekvenser av att inte genomföra förslagen.................63 8 Författningskommentar ...................................................................64 Bilaga 1 Sammanfattning av promemorian .........................................70 Bilaga 2 Promemorians lagförslag ......................................................71 Bilaga 3 Förteckning över remissinstanserna ......................................74 Bilaga 4 Lagrådets yttrande.................................................................75 Utdrag ur protokoll vid regeringssammanträde den 6 september 2012 .......................................................................................77 Prop. 2011/12:176 1 Förslag till riksdagsbeslut Regeringen föreslår att riksdagen antar regeringens förslag till lag om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Prop. 2011/12:176 2 Förslag till lag om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag gäller vid behandling av personuppgifter i sådan verk- samhet hos Institutet för arbetsmarknads- och utbildningspolitisk ut- värdering som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Lagen gäller inte behandling av personuppgifter vid tilldelning av forskningsbidrag. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukture- rad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. 2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen. Första stycket gäller dock inte när personuppgifterna samlas in direkt från den enskilde. I sådant fall får personuppgifter behandlas endast om han eller hon har lämnat sitt uttryckliga samtycke till behandlingen. För återkallelse av ett lämnat samtycke tillämpas 12 § personuppgiftslagen (1998:204). Förhållandet till personuppgiftslagen 3 § Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till denna lag. Personuppgiftsansvar 4 § Institutet är personuppgiftsansvarigt för den behandling av personuppgifter som institutet utför. Ändamål 5 § Personuppgifter får endast behandlas om det behövs för att fullgöra institutets uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. 6 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra ett utlämnande av uppgifter som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Känsliga personuppgifter 7 § Andra känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) än sådana som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa får inte behandlas för de ändamål som anges i 5 §. Av lagen (2003:460) om etikprövning av forskning som avser människor följer att forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller sådana uppgifter som avses i 21 § samma lag måste etikprövas. Samlingar av personuppgifter 8 § Om det behövs för de ändamål som anges i 5 §, får det hos institu- tet finnas samlingar av personuppgifter som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna får dock vara försedda med en beteckning som den myndighet uppgifterna kommer från kan hänföra till ett personnummer eller motsvarande identitetsbeteckning. 9 § Om det behövs för de ändamål som anges i 5 §, får det hos institu- tet även finnas samlingar av personuppgifter som behandlas automatiserat som inte är sådana personuppgifter som avses i 8 §, om uppgifterna är nödvändiga för en viss avgränsad studie, uppföljning eller utvärdering. Begränsningar i behandlingen av personuppgifter 10 § Personuppgifter som inte direkt kan hänföras till en person och som ingår i samlingar av personuppgifter som behandlas automatiserat får inte behandlas i syfte att röja en persons identitet. 11 § Personuppgifter som behandlas enligt 9 § och som har samlats in för att behandlas inom olika avgränsade studier, uppföljningar eller utvärderingar får inte sambearbetas med varandra. Denna begränsning gäller inte för en sådan sambearbetning av personuppgifter som är nödvändig för att kunna upprepa eller följa upp en sådan studie, uppföljning eller utvärdering som har genomförts tidigare. Tillgång till personuppgifter 12 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Information 13 § Bestämmelserna i 26 § personuppgiftslagen (1998:204) om information efter ansökan gäller inte i fråga om personuppgifter som inte direkt kan hänföras till en person. Prop. 2011/12:176 Prop. 2011/12:176 Gallring 14 § Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ända- mål. Rättelse och skadestånd 15 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller för behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till denna lag. Denna lag träder i kraft den 1 januari 2013 och gäller till och med den 31 december 2015. 3 Ärendet och dess beredning Inom Arbetsmarknadsdepartementet har departementspromemorian Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (Ds 2012:5) utarbetats. En sammanfatt- ning av promemorian finns i bilaga 1. Promemorians lagförslag finns i bilaga 2. Promemorian har remissbehandlats. En förteckning över remiss- instanserna finns i bilaga 3. Remissyttrandena och en remissamman- ställning finns tillgängliga hos Arbetsmarknadsdepartementet (dnr A2009/1438/A). Ett kompletterande remissyttrande har inhämtats från Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) och ett möte har hållits med IFAU och Datainspektionen för att diskutera inkomna remissynpunkter. Ett utkast till lagrådsremiss har beretts med Riksarkivet, IFAU och Datainspektionen. Det kompletterande yttrandet från IFAU och de synpunkter som inkommit på utkastet till lagrådsremiss har även de diarieförts i ärendet. Förslaget att lagen ska tidsbegränsas, som tillkommit i ett sent skede av lagstiftningsprocessen, har beretts särskilt med Datainspektionen, IFAU och Statistiska centralbyrån (SCB). SCB och IFAU har kommit in med yttranden i frågan som har diarieförts i ärende A2012/1852/RS. Lagrådet Regeringen beslutade den 31 maj 2012 att inhämta Lagrådets yttrande över förslaget till lag om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Lagrådets yttrande finns i bilaga 4. Regeringen har följt Lagrådets synpunkter. Synpunkterna behandlas i avsnitt 5.12 och i författningskommentaren. Utöver de ändringar som har gjorts med anledning av Lagrådets yttrande har Lagrådets granskning lett till att vissa språkliga och redaktionella ändringar har gjorts i lagtexten förhållande till hur denna såg ut i lagrådsremissen. Förslaget att lagen ska tidsbegränsas har tillkommit efter Lagråds- granskningen. Förslaget är i den delen författningstekniskt och även i övrigt av sådan beskaffenhet att Lagrådets hörande skulle sakna betydelse. 4 Bakgrund 4.1 Institutet för arbetsmarknads- och utbildningspolitisk utvärdering Den 12 januari 2012 fattade regeringen beslut om en utvidgning av upp- draget för Institutet för arbetsmarknadspolitisk utvärdering (jfr prop. 2011/12:1 utg.omr. 14 avsnitt 3.6.7, bet. 2011/12:AU2, rskr. 2011/12:88). Samtidigt beslutades att institutet skulle byta namn till Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Änd- Prop. 2011/12:176 7 Prop.2011/12:176 ringarna, som gjordes i förordningen (2007:911) med instruktion för Institutet för arbetsmarknadspolitisk- och utbildningspolitisk utvärdering, trädde i kraft den 21 februari 2012. IFAU har enligt instruktionens nya lydelse till uppgift att främja, stödja och genom forskning genomföra uppföljning och utvärdering av den arbetsmarknadspolitiska verksamheten, studier av arbetsmarknadens funktionssätt, utvärdering av effekter av olika reformer och åtgärder inom utbildningsväsendet, utvärdering av effekterna på arbetsmarknaden av åtgärder inom utbildningsväsendet och utvärdering av socialförsäkringens effekter på arbetsmarknaden. Den nyligen beslutade ändringen innebär framförallt att IFAU har fått i uppdrag att mer generellt genomföra utvärderingar av effekterna av olika reformer och åtgärder inom utbildningsområdet och inte, som tidigare, endast av åtgärdernas effekter på arbetsmarknaden. Det har även i instruktionen förtydligats att IFAU bedriver forskningsverksamhet. Av instruktionen följer vidare att IFAU särskilt ska fokusera på de samlade effekterna av den arbetsmarknadspolitiska verksamheten och de utbildningspolitiska reformerna samt de särskilda uppdrag som regeringen fattar beslut om inom dessa områden. I uppföljnings- och utvärderingsarbetet ska effekterna för kvinnor och män särskilt belysas. IFAU ska vidare sprida information om resultaten av sina uppföljningar, utvärderingar och studier till andra myndigheter och intressenter. Utvärdering, uppföljning och studier Med utvärdering avses enligt IFAU:s instruktion både effektutvärdering och processutvärdering. En effektutvärdering innebär att man försöker isolera effekten av exempelvis en insats från andra faktorer som kan ha påverkat utfallet, t.ex. andra insatser eller program. Effektutvärderingar är metodmässigt svåra och innebär i praktiken behandling av en för- hållandevis stor mängd personuppgifter. Bearbetningen sker dock med statistiska metoder och det finns därför sällan behov av att kunna hänföra uppgifterna till en viss fysisk eller juridisk person. Ofta saknas det emellertid ett tillräckligt stort antal personuppgifter som jämförelsematerial för att det med statistisk säkerhet ska gå att ute- sluta att utfallet beror på något annat än exempelvis den insats myndig- heten har i uppdrag att utvärdera. I sådana fall kan en processutvärdering användas som ett komplement eller ett alternativ till en effektutvärdering. I en processutvärdering undersöker man exempelvis hur många som deltagit i en insats, om rätt målgrupp deltagit, vad insatsen kostat, vilka problem som uppstått vid genomförandet och hur deltagarna själva upplevt nyttan med insatsen. IFAU:s instruktion innehåller också begreppen studier och uppföljning. Uppföljning är liksom utvärdering, ett vitt begrepp. Begreppet kan inne- fatta effektutvärderingar, uppföljningar av tidigare utförda studier eller undersökningar eller rent deskriptiva uppföljningar av exempelvis ett arbetsmarknadspolitiskt program. IFAU ger t.ex. ut ett Arbetsmarknads- politiskt kalendarium som enkelt beskriver vilka regler som gällde i de arbetsmarknadspolitiska programmen vid en viss tidpunkt. Begreppet studier är också vitt och ingår i myndighetens instruktion för att ge utrymme för projekt som inte kan anses utgöra utvärderingar eller uppföljningar och för att ge myndigheten utrymme att ägna sig åt teori- utveckling på arbetsmarknads- eller utbildningsområdet samt åt den metodutveckling inom statistikområdet som är nödvändig för att förbättra metoderna för effektutvärdering. Inom ramen för begreppet studier har IFAU exempelvis under en period delfinansierat en professur i utvärderingsmetodik. Personuppgiftsbehandling hos IFAU IFAU är för sin verksamhet beroende av uppgifter och underlag från andra myndigheter och institutioner. IFAU är framför allt en stor an- vändare av Statistiska centralbyråns (SCB:s) register, särskilt LISA (Longitudinell integrationsdatabas för Sjukförsäkrings- och Arbetsmarknadsstudier). I LISA har data sammanställts från flera olika källor, t.ex. personregistret, Arbetsförmedlingen, Försäkringskassan och Skatteverket. Även s.k. känsliga personuppgifter enligt 13 § person- uppgiftslagen (1998:204) ingår i registret (se nedan avsnitt 4.2). När uppgifter ur LISA lämnar SCB är de alltid avidentifierade på så sätt att personnummer har ersatts med löpnummer. Ingen information kan således hänföras direkt till en enskild individ hos den myndighet till vilken uppgifterna lämnas. SCB har dock kvar en nyckel mellan dessa löpnummer och individernas personnummer. Hela eller delar av registret kan därför på nytt hänföras till en individ och länkas till andra register efter behov från myndigheter, utredare eller forskare. Det är i detta sam- manhang man ska förstå de samlingar av personuppgifter som IFAU administrerar och som beskrivs nedan. I grunden utgör samlingarna resultatet av IFAU:s beställningar till SCB. De uppgifter som IFAU använder kommer ofta ursprungligen från andra myndigheter än SCB. IFAU har exempelvis ofta behov av att använda uppgifter ur Arbetsförmedlingens datalager. När register läggs samman görs det emellertid alltid av SCB. Bara SCB har den nyckel mellan personnummer och de olika registrens löpnummer som gör sam- manläggningar av registren möjliga. Riksdagen har beslutat att IFAU:s anslagsfinansierade verksamhet ska utökas stegvis med 30 procent till 40 miljoner kr per år från och med 2014 (prop. 2011/12:1 utg.omr. 14, bet. 2011/12:AU2, rskr. 2011/12:88). IFAU har tidigare endast studerat utbildningssystemets inverkan på arbetsmarknaden, men nu även fått i uppdrag att studera hela utbildningssystemet. Tidigare har IFAU:s behov stannat vid person- uppgifter beträffande elever som lämnar årskurs nio, eftersom dessa elever ligger närmast arbetsmarknaden. Nu kommer behoven att vidgas till att omfatta personuppgifter om elever inom hela skolsystemet. IFAU kommer därmed att på utbildningsområdet ha ett behov av att inhämta uppgifter från fler myndigheter än tidigare. Ett betygsregister för grundskolan och gymnasieskolan är under uppbyggnad hos Statens skolverk. För mer detaljerade data kommer IFAU behöva vända sig till kommuner och för att erhålla nationella data till Sveriges Kommuner och Landsting. Studieresultat för högskolan finns hos Högskoleverket. Forskning som innefattar behandling av känsliga personuppgifter måste alltid genomgå etikprövning enligt lagen (2003:460) om etik- prövning av forskning som avser människor (etikprövningslagen) och Prop. 2011/12:176 9 Prop.2011/12:176 godkännas av en etikprövningsnämnd innan den får genomföras (se nedan avsnitt 4.2). När IFAU begär ut känsliga personuppgifter för ett forskningsprojekt kräver därför SCB att forskningsprojektet i fråga har etikprövats innan myndigheten tar sig an beställningen. IFAU administrerar för närvarande i huvudsak tre, i stor utsträckning överlappande databaser. Den s.k. IFAU-databasen skapades i början av 2000-talet och används framförallt vid utvärderingar av arbetsmarknads- politiska åtgärder och vid studier av arbetsmarknadens funktionssätt. IFAU-databasen innehåller personuppgifter hämtade från LISA och andra register som SCB har tillgång till. Databasen innehåller ett fåtal känsliga personuppgifter, främst uppgifter som rör hälsa. Utbildningsdatabasen utvecklades efter det att IFAU:s uppdrag 2001 utvidgades till att även innefatta utvärderingar av effekterna på arbets- marknaden av åtgärder inom utbildningsväsendet. Det finns för när- varande inga känsliga personuppgifter i utbildningsdatabasen. Socialförsäkringsdatabasen har finansierats och byggts upp inom ramen för ett forskningsprojekt med anslag från Forskningsrådet för arbetsliv och socialvetenskap. IFAU har inom ramen för projektet be- viljats medel för analyser av policyinterventioner i social- och arbets- löshetsförsäkringarna. I databasen finns många känsliga personuppgifter enligt personuppgiftslagens definition. De tre databaserna skiljer sig åt inte bara med avseende på innehåll utan även ifråga om tillgänglighet. IFAU-databasen kan användas av samtliga forskare och utredare vid IFAU, av forskare som får forskningsbidrag från IFAU och av forskare utanför IFAU som ingår i ett IFAU-projekt där även IFAU-forskare ingår. Utbildningsdatabasen kan endast användas av forskare och utredare vid IFAU. Socialförsäkringsdatabasen kan endast användas av forskare och utredare som ingår i det projekt som Forskningsrådet för arbetsliv och socialvetenskap har finansierat. De tre ovan nämnda databaserna uppdateras löpande i enlighet med avtal mellan SCB och IFAU. Därutöver köper IFAU data ur register som innehas av SCB för specifika projekt. Då känsliga personuppgifter ingår i forskningsmaterialet sker, som framgått ovan, alltid en etikprövning av projektet innan nya register sätts samman för IFAU:s räkning. IFAU:s inriktning gör att studier, utredningar eller uppföljningar baserade på data inhämtade genom enkäter eller intervjuer endast utgör en mindre del av verksamheten. Vanligast är att IFAU använder sig av enkäter eller intervjuer för att fullgöra uppdrag från regeringen att exempelvis utvärdera genomförandet av ett visst arbetsmarknadspolitiskt program. Effektutvärderingar görs dock inte på grundval av data som inhämtats på detta sätt. 4.2 Skyddet för den personliga integriteten Informationsteknikens utveckling och den ökande användningen av denna teknik för behandling av information om individer, medför ett särskilt behov av skydd mot sådan användning av individrelaterad in- formation som kan anses utgöra ett otillbörligt intrång i den personliga integriteten. Reglering för sådan behandling av information har utarbetats såväl i internationella sammanhang som i nationell lagstiftning. Grundläggande bestämmelser om skydd för den personliga integriteten finns i regeringsformen (RF). Av det allmänna målsättningsstadgandet i 1 kap. 2 § RF följer att det allmänna ska värna om den enskildes privat- liv. Genom ändringar i RF som trädde i kraft den 1 januari 2011 (prop. 2009/10:80, bet. 2009/10:KU19, rskr. 2009/10:304, bet. 2010/11:KU4, rskr. 2010/11:21) har det generella grundlagsskyddet för den personliga integriteten stärkts. I 2 kap. 6 § RF har det införts en ny bestämmelse som anger att var och en, utöver vad som i övrigt gäller enligt paragrafen, gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten som sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet enligt den nya grundlagsbestämmelsen är inte absolut. Det kan inskränkas i lag under förutsättning att det sker för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle. En begränsning får dock aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och får inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen (2 kap. 21 § RF). Enligt artikel 8 i Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europa-konventionen) har var och en rätt till respekt för sitt privat- och familje-liv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rättighet annat än med stöd av lag. Inskränkningar får vidare endast göras om det är nödvändigt i ett demokratiskt samhälle med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller till skydd för andra personers fri- och rättigheter. Europakonventionen gäller sedan den 1 januari 1995 som svensk lag. Av grundlag följer även att en lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden enligt konventionen (2 kap. 19 § RF). En bestämmelse om respekt för privatlivet och familjelivet finns även i artikel 7 i Europeiska unionens stadga om de grundläggande rättig- heterna. Av artikel 8 i stadgan följer vidare bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Uppgifterna ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. De grundläggande nationella bestämmelserna om behandling av personuppgifter finns i personuppgiftslagen (1998:204). Genom lagen har Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskydds- direktivet, EGT L 281, 23.11.95, s. 31, Celex 31995L0046) genomförts i svensk rätt. Personuppgiftslagen är generellt tillämplig, men om det i en annan lag eller i en förordning har meddelats avvikande bestämmelser, så gäller de bestämmelserna. Sedan slutet av 1990-talet har det utöver personuppgiftslagen utarbetats en stor mängd särskilda s.k. register- författningar med bestämmelser om behandling av personuppgifter, däribland lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och lagen (2006:469) om Prop. 2011/12:176 11 Prop.2011/12:176 12 behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäk- ringen. Syftet med de särskilda registerförfattningarna har varit att anpassa regleringen till de särskilda behov som myndigheterna har i sina respektive verksamheter samt att göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för den enskildes integritet. Begreppet personuppgift Enligt 3 § personuppgiftslagen avses med personuppgift all slags information som direkt eller indirekt kan hänföras till en enskild person som är i livet. Namn och personnummer är exempel på information som utan vidare omfattas av begreppet. Begreppet omfattar dock all information som på något sätt kan härledas till en fysisk person, även om informationen i fråga bara avser personen i egenskap av exempelvis yrkesutövare eller näringsidkare. Informationen behöver således inte vara hänförlig till en persons privatliv (se t.ex. Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen. En kommentar, 4 uppl. 2011, 88 f.). Kravet att en personuppgift ska kunna hänföras till en viss bestämd person är lågt ställt. Också sådana i sig anonyma uppgifter som indirekt kan härledas till en fysisk person omfattas av begreppet. I 16 § lagen (2001:99) om den officiella statistiken anges att personuppgifter som inte direkt kan hänföras till en enskild får av den utlämnande myndigheten förses med löpnummer som hänvisar till en nyckel - med koppling till personnummer - som den som får uppgifterna inte har tillgång till vid behandling av personuppgifterna (prop. 2000/01:27 En ny statistiklagstiftning, s. 50 f.). Sådana uppgifter kallas här för avidentifierade uppgifter (se vidare nedan i avsnitt 5.6). Även sådana uppgifter anses vara personuppgifter i personuppgiftslagens mening. Vidare kan uppgifter om diagnos och region i vissa fall vara tillräckliga för att identifiera en enskild person. Andra uppgifter som möjliggör identifikation kan vara uppgifter om ålder, kön eller årsinkomst. Behandling av känsliga personuppgifter m.m. För behandling av vissa typer av personuppgifter gäller enligt person- uppgiftslagen särskilda restriktioner. Det är enligt huvudregeln förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fack- förening. Det är även förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Dessa uppgifter kallas med en samlings- beteckning för känsliga personuppgifter. Lagen innehåller dock en rad undantag från förbudet mot behandling av känsliga personuppgifter. Känsliga personuppgifter får för det första behandlas om den enskilde lämnat sitt uttryckliga samtycke till behand- lingen eller själv offentliggjort uppgifterna på ett tydligt sätt. Känsliga personuppgifter får också behandlas om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten, för att någons vitala intressen ska kunna skyddas i fall då den registrerade inte kan lämna sitt samtycke eller för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Känsliga personuppgifter får vidare behandlas för hälso- och sjukvårdsändamål. Även viss behandling för forsknings- och statistikändamål är undantagen från förbudet mot behandling av känsliga personuppgifter. Enligt 19 § personuppgiftslagen får känsliga personuppgifter behandlas för forskningsändamål om behandlingen godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen). Känsliga personuppgifter får även behandlas för statistikändamål, om behandlingen är nödvändig på något av de sätt som anges i 10 § personuppgiftslagen och om samhällsintresset av det aktuella statistikprojektet klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära. Regleringen av behandlingen av känsliga personuppgifter i person- uppgiftslagen följer i princip motsvarande reglering i dataskydds- direktivet. Direktivet medger att medlemsstaterna i sin nationella lag- stiftning beslutar om andra undantag från förbudet mot behandling av känsliga uppgifter än dem som anges i dataskyddsdirektivet, om undan- taget kan motiveras utifrån hänsyn till ett viktigt allmänt intresse och under förutsättning att lämpliga skyddsåtgärder vidtas. Den nationella lagstiftningen kan således innehålla ytterligare undantag från förbudet mot behandling av känsliga personuppgifter. Enligt 20 § person- uppgiftslagen får också regeringen eller den myndighet regeringen bestämmer, om det behövs med hänsyn till ett viktigt allmänt intresse, meddela föreskrifter om ytterligare undantag från förbudet att behandla känsliga uppgifter. Sådana undantag finns bl.a. i de tidigare nämnda särskilda registerförfattningarna. Enligt 21 § personuppgiftslagen är det förbjudet för andra än myndig- heter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administra- tiva frihetsberövanden. Etikprövningslagen Etikprövningslagen har till syfte att skydda den enskilda människan och respekten för människovärdet vid forskning. Med forskning avses enligt lagen vetenskapligt experimentellt eller teoretiskt arbete för att inhämta ny kunskap och utvecklingsarbete på vetenskaplig grund. Arbete som utförs inom ramen för högskoleutbildning anses dock inte utgöra forskning i lagens mening. Lagen ska bl.a. tillämpas på forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller personuppgifter om lagöverträdelse som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden enligt 21 § samma lag. Sådan forskning får enligt etikprövningslagen endast utföras om den har godkänts vid en etikprövning. Ett godkännande ska avse ett visst projekt eller en del av ett projekt eller en på något liknande sätt bestämd forskning. Behandling av känsliga personuppgifter eller sådana personuppgifter som avses i 21 § personuppgiftslagen får endast godkännas om behandlingen är nödvändig för att forskningen ska kunna utföras. Behandling för historiska, statistiska eller vetenskapliga ändamål I både dataskyddsdirektivet och i personuppgiftslagen har behandling för historiska, statistiska eller vetenskapliga ändamål fått en särställning. Prop. 2011/12:176 13 Prop.2011/12:176 Senare behandling för sådana ändamål ska inte anses oförenlig med de ursprungliga ändamål för vilka uppgifterna samlades in (se 9 § första stycket d och andra stycket personuppgiftslagen). Det är också tillåtet att för sådana ändamål bevara personuppgifter under längre tid än vad som annars skulle vara tillåtet. Uppgifterna får dock inte bevaras under längre tid än vad som behövs för de historiska, statistiska eller vetenskapliga ändamålen (se 9 § första stycket 1 och tredje stycket personuppgifts- lagen). Enligt 19 § fjärde stycket personuppgiftslagen får personuppgifter lämnas ut för att användas i vissa statistikprojekt, om inte annat följer av regler om sekretess eller tystnadsplikt. Med behandling för historiska ändamål avses i första hand bevarandet av personuppgifter för arkivering (jfr 8 § andra stycket person- uppgiftslagen). Med behandling för statistiska ändamål avses i första hand framställning av numeriska sammanställningar av elementära observationer som kan hänföras till händelser, flöden eller tillstånd (prop. 1997/98:44 s. 127). Med behandling för vetenskapliga ändamål avses i första hand den verksamhet som bedrivs vid universitet och högskolor eller offentliga eller privata och väletablerade forskningsinstitut. Det måste vidare finnas ett samhällsintresse av att forskningen bedrivs och den måste vara att anse som vetenskaplig (se anförd prop. s. 127). Statistikförande myndigheter Regeringen har utsett ett antal myndigheter att vara ansvariga för officiell statistik på olika områden. Dessa myndigheter kallas för statistikansvariga myndigheter. Syftet är att säkerställa att det finns officiell statistik för allmän information, utredningsverksamhet och forskning. Lagen ställer krav på att statistiken ska vara objektiv och allmänt tillgänglig (1 och 3 §§ lagen [2001:99] om den officiella statistiken). En statistikansvarig myndighet får behandla personuppgifter för framställning av officiell statistik. Känsliga personuppgifter eller sådana personuppgifter som avses i 21 § första stycket personuppgifts- lagen får dock endast behandlas om det följer av föreskrifter som meddelats av regeringen. Den officiella statistiken ska av de statistikansvariga myndigheterna hållas allmänt tillgänglig i elektronisk form genom ett allmänt nätverk. Uppgifter som behandlas för framställning av officiell statistik får även behandlas för framställning av annan statistik eller för forskning. Detta gäller dock endast om ändamålet med behandlingen inte är oförenligt med det ändamål för vilket uppgifterna samlades in (9 § förordningen [2001:100] om den officiella statistiken). När en statistikansvarig myndighet lämnar ut uppgifter som inte direkt kan hänföras till en enskild, får myndigheten i samband med utlämnandet förse uppgifterna med en beteckning som hos den statistikansvariga myndigheten kan kopplas till personnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna. En sådan åtgärd får dock endast vidtas om den som uppgifterna lämnas ut till ska använda dessa för forskning eller statistik och har ett särskilt behov av att senare kunna komplettera uppgifterna. Den som mottar uppgifterna får i sin tur endast behandla uppgifterna för dessa statistik- och forskningsändamål. Den som har fått personuppgifter som avses i 16 § första stycket lagen om den officiella statistiken behöver inte lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade (se 16-18 §§ lagen om den officiella statistiken). IFAU får merparten av underlaget för sin forskningsverksamhet från SCB som bl.a. är statistikansvarig myndighet för delar av arbetsmarknadsområdet samt för utbildnings- och forskningsområdet. Uppgifter inhämtas även från Försäkringskassan som bl.a. är statistikansvarig myndighet för stora delar av socialförsäkringsområdet. 4.3 Sekretess Sekretess i IFAU:s verksamhet Av 24 kap. 8 § första stycket offentlighets- och sekretesslagen (2009:400) framgår bl.a. att sekretess gäller för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde i sådan särskild verksamhet hos en myndighet som avser framställning av statistik. Detsamma gäller för sådana uppgifter i annan jämförbar undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen eller, i den utsträckning regeringen meddelar föreskrifter om det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Med stöd av bemyndigandet i 24 kap. 8 § offentlighets- och sekretess- lagen har regeringen meddelat föreskrifter i 7 § offentlighets- och sekretessförordningen (2009:641). Där finns bl.a. en bestämmelse som särskilt tar sikte på IFAU:s verksamhet. Enligt 7 § gäller sekretess för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde inom IFAU:s verksamhet som avser uppföljning och utvärdering av den arbetsmarknadspolitiska verksamheten, studier av arbetsmarknadens funktionssätt, utvärdering av effekter av olika reformer och åtgärder inom utbildningsväsendet, utvärdering av effekterna på arbetsmarknaden av åtgärder inom utbildningsväsendet och utvärdering av socialförsäkringens effekter på arbetsmarknaden. Uppgifter som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförliga till den enskilde, får dock lämnas ut under samma förutsättningar som gäller enligt 24 kap. 8 §. IFAU får således lämna ut sådana uppgifter endast om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. IFAU:s möjligheter att lämna ut uppgifter ur sina samlingar är därmed ytterst begränsade (se vidare avsnitt 5.6). Prop. 2011/12:176 Prop.2011/12:176 Sekretess i berörda myndigheters verksamhet Som tidigare framgått är IFAU för sin verksamhet beroende av person- uppgifter från andra myndigheter. Dessa personuppgifter kan dock om- fattas av regler om sekretess. Den utlämnande myndigheten är därmed skyldig att vid en förfrågan från IFAU om att få tillgång sådana uppgifter göra en sekretessprövning innan uppgifterna lämnas ut till IFAU. Enligt 24 kap. 8 § offentlighets- och sekretesslagen gäller sekretess hos SCB för uppgifter som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Uppgift som behövs för forsknings- eller statistikändamål och uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. De sekretessregler som gäller i Arbetsförmedlingens verksamhet finns i 28 kap. offentlighets- och sekretesslagen. Enligt 11 § gäller sekretess för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men och uppgiften förekommer i ett ärende om arbets- förmedling, yrkesvägledning, arbetsvård eller antagning till arbetsmark- nadsutbildning. Detsamma gäller i ärende om stöd eller hjälp vid arbets- löshet eller om andra åtgärder i anställningsfrämjande syfte eller för att främja en enskilds anpassning till arbetslivet. Sekretessen gäller dock inte för beslut i dessa ärenden. Enligt 12 § gäller också sekretess för uppgift om en enskilds affärs- eller driftsförhållanden i ärende om arbets- förmedling och ärende enligt lagstiftningen om anställningsfrämjande åtgärder, om det inte står klart att uppgiften kan röjas utan att den enskilde lider skada. Enligt 28 kap. 1 § offentlighets- och sekretesslagen gäller sekretess hos Försäkringskassan i ärenden enligt lagstiftning om allmän försäkring, allmän pension, arbetsskadeförsäkring eller handikappersättning. Det- samma gäller i ärenden om vårdbidrag eller annan jämförbar ekonomisk förmån för enskild och ärenden för läkarvårdsersättning eller ersättning för sjukgymnastik. Sekretessen gäller för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider men om uppgiften röjs. Under begreppet personliga förhållanden kan uppgift om en enskilds ekonomi falla även om det mer sällan kan hävdas att det medför men för den enskilde att sådana uppgifter lämnas ut (prop. 1979/80:2 Förslag till sekretesslag m.m., Del A, s. 84 och 190.) IFAU begär också ut uppgifter från Försäkringskassans statistik- databaser. För uppgifterna i dessa databaser gäller statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen. Bestämmelser om sekretess på utbildningsområdet finns huvudsakligen i 23 kap. 1-7 b §§ offentlighets- och sekretesslagen. Sekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen och 7 § offentlighets- och sekretessförordningen gäller vidare för uppgifter om enskildas personliga förhållanden hos Statens skolinspektion för undersökning av resultatet av nationella prov, hos Statens skolverk för nationella respektive internationella undersökningar inom skolväsendet och sådan pedagogisk verksamhet som avses i 25 kap. skollagen (2010:800), hos universitet och högskolor för undersökningar av studenters bakgrund och om deras vägval efter studierna samt hos Myndigheten för yrkeshögskolan för undersökningar om utbildningar inom myndighetens ansvarsområde och arbetsmarknadsutfallet av sådana utbildningar och om studerandes bakgrund och deras vägval efter studierna. Hos Myndigheten för yrkeshögskolan gäller sekretessen även för uppgifter om enskildas ekonomiska förhållanden. 5 En ny lag om behandling av personuppgifter hos IFAU 5.1 Behovet av en särskild registerlag Regeringens förslag: En särskild lag ska införas för den behandling av personuppgifter som sker vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Regeringens bedömning: Kompletterande bestämmelser bör med- delas av regeringen. Prop. 2011/12:176 Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Merparten av remissinstanserna tillstyrker eller har inga invändningar mot förslaget. Arbetsgivarverket anser att det är av stor vikt att IFAU ges möjlighet att på ett effektivt och ändamålsenligt sätt fullgöra sitt uppdrag inom det arbetsmarknadspolitiska området. Enligt Statskontoret gör förslaget det möjligt för IFAU att behandla personuppgifter i den utsträckning som institutet behöver för att kunna fullgöra sin uppgift på ett effektivt sätt. Såvitt myndigheten kan bedöma säkerställer förslaget ett fullgott skydd för den personliga integriteten. IFAU anser att lagförslaget i stort tillgodoser myndighetens behov samtidigt som det tillgodoser samhällets behov av skydd för den personliga integriteten och behovet av kontroll över vilken typ av forskning som känsliga personuppgifter ska användas till. Svenskt Näringsliv framhåller att IFAU:s forskning är angelägen för samhället då den går ut på att öka kunskapen om effekterna av olika arbetsmarknads- och utbildningspolitiska insatser. Almega anser att förslaget kan stärka forskningen och därmed möjliggöra utvärdering av arbetsmarknadspolitiska åtgärder och att de regler som kringgärdar användandet av personuppgifter är tillfredsställande. Tjänstemännens Centralorganisation anser att den föreslagna lagens utformning åstadkommer ett fullgott skydd för den personliga integriteten. Sveriges akademikers centralorganisation (Saco) anser med hänsyn till att personuppgifterna i huvudsak är avidentifierade att förslagets fördelar överväger dess nackdelar, givet att IFAU på ett tillfredsställande sätt kan trygga datasäkerheten. De utvärderingar som genomförs utgör enligt Prop. 2011/12:176 18 Saco ett mycket viktigt underlag för utformningen av en effektiv arbetsmarknadspolitik. Datainspektionen delar uppfattningen att en särskild lag bör införas om behandling av personuppgifter vid IFAU. Försäkringskassan gör bedömningen att ett sammanhållet regelverk för IFAU:s personuppgifts- hantering kommer att underlätta Försäkringskassans bedömningar i samband med att IFAU begär att få ut uppgifter från myndigheten. Även Arbetsförmedlingen ställer sig positiv till förslaget att reglera IFAU:s personuppgiftsbehandling i en särskild lag. Inspektionen för arbetslöshetsförsäkringen instämmer också i förslaget att de viktigaste ramarna för personuppgiftsbehandlingen hos IFAU bör dras upp i en särskild registerlag. Inspektionen konstaterar vidare att det i huvudsak är avidentifierade personuppgifter som behandlas vid IFAU och att detta minskar riskerna för intrång i de enskildas personliga integritet. Skälen för regeringens förslag Behovet av en särskild reglering av IFAU:s personuppgiftsbehandling IFAU behandlar i dag personuppgifter med stöd av personuppgiftslagen (1998:204). För att IFAU ska kunna behandla personuppgifter behöver därmed varje behandling föregås av en prövning enligt 10 § person- uppgiftslagen. Där föreskrivs att personuppgifter endast får behandlas om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för vissa i paragrafen angivna ändamål. Ett sådant ändamål kan vara att behandlingen anses nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras. Ett annat kan vara att ett berättigat intresse hos den personuppgiftsansvarige eller den till vilken personuppgifterna ska lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränk- ning av den personliga integriteten. För det fall IFAU har behov av att behandla känsliga personuppgifter eller sådana personuppgifter som avses i 21 § personuppgiftslagen krävs dessutom att projektet etikprövas enligt lagen (2003:460) om etikprövning av forskning som avser människor (se avsnitt 5.8). För att fullgöra sitt uppdrag begär IFAU ut personuppgifter från andra myndigheter. Innan begärda uppgifter lämnas ut måste dessa myndig- heter pröva huruvida ett utlämnande är förenligt med gällande offentlig- hets- och sekretesslagstiftning. De måste också ta ställning till om den behandling som kommer att utföras hos institutet kan anses förenlig med personuppgiftslagens regler. Som framgått ovan har IFAU samlingar av personuppgifter i databaser. Den databas från vilken institutet gör merparten av sina datauttag, den s.k. IFAU-databasen, innehåller samlingar av avidentifierade personuppgifter. Vissa av dessa uppgifter är s.k. känsliga personuppgifter i personuppgiftslagens mening. IFAU fick efter en ansökan till en regional etikprövningsnämnd i juni 2005 ett godkännande enligt etikprövningslagen för forskning på grundval av data ur IFAU-databasen. Godkännandet har förlängts och nuvarande godkännande gäller till och med den 31 december 2012. Godkännandet avser kvantitativ samhällsvetenskaplig forskning om arbetsmarknadens funktionssätt, effekter av arbetsmarknadspolitiska insatser och effekter av utbildningsåtgärder baserad på IFAU-databasen. Då IFAU:s uppdrag på senare år har utvidgats betydligt, är ett fortsatt godkännande av ett projekt i samma omfattning inte tillräckligt för att institutet ska kunna hålla och administrera de databaser myndigheten behöver för sin verksamhet. Mot denna bakgrund har IFAU i en skrivelse till regeringen framfört önskemål om en reglering som ger institutet möjlighet att mer långsiktigt inneha och använda sammanhållna databaser med personuppgifter (A2009/1438/A). Enligt IFAU skulle det få allvarliga konsekvenser för institutets möjligheter att genomföra sitt uppdrag om möjligheten att hålla denna typ av databaser upphör. Trots att personuppgiftslagen innehåller flera särregler för forsknings- och statistikverksamhet har frågan uppkommit om personuppgiftslagens regler för behandling av personuppgifter är optimalt anpassade för den typ av forskningsverksamhet som IFAU bedriver. Särskilt har frågan uppkommit om det är förenligt med personuppgiftslagen att bygga upp och förvara samlingar av personuppgifter som inte är knutna till något specifikt och på förhand bestämt forskningsprojekt. Även i övrigt har ramarna för personuppgiftsbehandlingen i IFAU:s forskningsverksamhet ansetts oklara. Det osäkra rättsläget har även inneburit svårigheter för de myndigheter som förser IFAU med underlag för forsknings- verksamheten. Svårigheterna har bl.a. legat i att avgöra vilka uppgifter som IFAU faktiskt har behov av och i att avgöra om den personuppgiftsbehandling som ska utföras är förenlig med personuppgiftslagen. Hittills har IFAU kunnat finna stöd för sin personuppgiftsbehandling i det godkännande för behandlingen som institutet fått av den regionala etikprövningsnämnden. Som framgått ovan löper nuvarande godkännande ut den 31 december 2012. Med hänsyn till IFAU:s utvidgade uppdrag bedöms det inte som sannolikt att IFAU på nytt kan få ett godkännande för sin personuppgiftsbehandling som fullt ut täcker institutets uppdrag och behov. Mot ovan angiven bakgrund anser regeringen att en särskild register- författning bör införas som ger IFAU bättre och mer långsiktiga och förutsebara möjligheter att på ett rättssäkert sätt behandla person- uppgifter. Utgångspunkten för regleringen bör vara att IFAU ska ges möjligheter att behandla personuppgifter i den utsträckning som behövs för att institutet på ett ändamålsenligt och effektivt sätt ska kunna full- göra sitt kärnuppdrag. Samtidigt bör lagen innehålla klara och tydliga regler och villkor för personuppgiftsbehandlingen och därigenom även åstadkomma ett bättre skydd mot oacceptabla intrång i den personliga integriteten. Lagen bör också syfta till att underlätta för de myndigheter som förser IFAU med data att göra de rättsliga bedömningar som behöver göras innan begärda uppgifter lämnas ut till institutet. Lag eller förordning Den behandling av personuppgifter som IFAU har behov av att utföra för att fullgöra sitt uppdrag kan i sig inte anses innebära ett sådant betydande intrång i den personliga integriteten att det av den anledningen krävs att behandlingen regleras i lag (se avsnitt 4.2), särskilt mot bakgrund av att behandlingen till så stor del avser avidentifierade personuppgifter för Prop. 2011/12:176 Prop. 2011/12:176 forskningsändamål. Regeringen har därför övervägt om IFAU:s personuppgiftsbehandling kan regleras genom förordning. Då det handlar om en förhållandevis stor mängd personuppgifter som dessutom kan komma att sparas i databaser under en längre tid, finner regeringen det ändå lämpligt att reglera personuppgiftsbehandlingen i lag. Lagens innehåll och utformning Lagen bör vara utformad på ett sådant sätt att IFAU:s verksamhet kan bedrivas på ett effektivt och ändamålsenligt sätt samtidigt som ett fullgott integritetsskydd uppnås. Särreglerna bör endast ersätta personuppgiftslagens regler i frågor som är specifika för IFAU:s verksamhet. De bestämmelser som bör framgå av lag är främst sådana som avser vilka uppgifter som får behandlas, för vilka ändamål uppgifterna får behandlas, hur de får behandlas och vilka rättigheter den enskilde har. Särskilda regler bör också knytas till de databaser som IFAU kommer att få använda i verksamheten. För det fall det finns behov av kompletterande bestämmelser bör dessa meddelas av regeringen. 5.2 Lagens tillämpningsområde Regeringens förslag: Den nya lagen ska tillämpas vid behandling av personuppgifter i den verksamhet hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Lagen ska inte tillämpas på behandling av personuppgifter vid till- delning av forskningsbidrag. Lagen ska endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Kammarrätten i Stockholm anser att lagens tillämpningsområde i stället bör bestämmas till behandling av person- uppgifter hos IFAU. Ingen annan remissinstans har särskilt kommenterat förslaget. Skälen för regeringens förslag Lagens tillämpningsområde Tillämpningsområdet för den nya lagen bör utgå från IFAU:s huvudsak- liga uppdrag såsom det är formulerat i 1 § första stycket förordningen (2007:911) med instruktion för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Lagen bör således avse den del av IFAU:s verksamhet som består i att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. IFAU:s arbete med att tilldela forskningsbidrag bör dock inte omfattas 20 av lagen. Forskningsbidragen tilldelas efter ett ansökningsförfarande och hanteringen av dessa ansökningar och tilldelningsbeslut skiljer sig från den personuppgiftshantering som görs inom själva forskningsverksam- heten. I arbetet med att tilldela forskningsbidrag torde det heller inte vara fråga om att hantera några känsliga personuppgifter i personuppgifts- lagens mening och, om det skulle finnas ett sådant behov, är det lämpligt att tillämpa personuppgiftslagens (1998:204) regler om samtycke. IFAU behandlar även personuppgifter i andra delar av verksamheten. Av 1 § sista stycket i institutets instruktion framgår att myndigheten ska sprida information om resultaten av sina studier, uppföljningar och utvärderingar till andra myndigheter och intressenter. För att fullgöra det uppdraget behandlar IFAU personuppgifter om t.ex. kontaktpersoner vid myndigheter, forskare och andra som är intresserade av IFAU:s arbete. Personuppgifter behandlas också i den interna administrationen vid hanteringen av exempelvis personalfrågor, upphandling av tjänster och inkomna skrivelser från enskilda. Dessa verksamheter bör inte heller omfattas av den nya lagen. I stället bör personuppgiftslagen tillämpas. Kammarrätten i Stockholm anser att lydelsen i 1 § första stycket i lag- förslaget lämpligen bör justeras till "Denna lag gäller vid behandling av personuppgifter hos Institutet för arbetsmarknads- och utbildnings- politisk utvärdering". Syftet med den nya lagen är dock endast att reglera under vilka förutsättningar IFAU får behandla personuppgifter inom ramen för sin forsknings- och utredningsverksamhet. Övriga delar av verksamheten ligger utanför den föreslagna lagens tänkta tillämpningsområde. Den av kammarrätten föreslagna skrivningen blir därmed för vid. Regeringen anser därför att bestämmelsen bör ha den föreslagna lydelsen. Automatiserad och manuell behandling av personuppgifter Den nya lagen bör omfatta helt eller delvis automatiserad behandling av personuppgifter och annan behandling av personuppgifter, om upp- gifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Tillämpningsområdet för den föreslagna lagen ansluter härigenom till den avgränsning som görs av personuppgifts- lagens tillämpningsområde. Prop. 2011/12:176 Prop. 2011/12:176 5.3 Undantag från rätten att motsätta sig behandling Regeringens förslag: Behandling av personuppgifter som är tillåten enligt den nya lagen ska få utföras även om den registrerade motsätter sig behandlingen. Personuppgifter som samlas in direkt från den enskilde ska dock endast få behandlas med stöd av hans eller hennes uttryckliga samtycke. För återkallelse av lämnat samtycke ska 12 § personuppgiftslagen tillämpas. Promemorians förslag: Överensstämmer delvis med regeringens förslag. I promemorian fanns dock inget förslag om krav på samtycke för behandling av personuppgifter som samlas in direkt från den enskilde. Följaktligen fanns inte heller något förslag på reglering angående förutsättningarna för återkallelse av lämnat samtycke. Remissinstanserna: Tjänstemännens Centralorganisation anser att undantaget från rätten att motsätta sig behandling får anses motiverat. Om individuellt samtycke skulle krävas så skulle IFAU vara tvunget att koppla samman de avidentifierade uppgifterna med en person, vilket i sig skulle innebära en integritetskränkning. Justitiekanslern anser att det saknas skäl för att ett insamlande av icke- avidentifierade personuppgifter ska få ske utan samtycke, men har i övrigt inte något att erinra mot att institutet får rätt att behandla personuppgifter även om den registrerade motsätter sig behandlingen. Bestämmelsen innebär enligt Justitiekanslern en lämplig avvägning mellan institutets möjlighet att bedriva sin verksamhet effektivt och enskildas behov av skydd för den personliga integriteten. Även Datainspektionen anser att det uttryckligen bör anges att personuppgifter som för en viss studie samlas in direkt från deltagarna bara får samlas in med stöd av ett samtycke, som när det gäller känsliga personuppgifter måste vara uttryckligt. Det är enligt Datainspektionens mening nödvändigt för att undanta denna typ av insamlande av uppgifter från nu aktuell reglering och för att tydliggöra att uppgiftslämnandet är frivilligt. Arbetsförmedlingen anser å andra sidan att förslaget i promemorian innebär att risken för otillbörliga intrång i den personliga integriteten läggs på de enskilda och att det finns en risk för att den som deltar i intervjuer eller besvarar enkäter inte kan lämna ett informerat samtycke till behandlingen med hänsyn till att den enskilde inte kan bilda sig en uppfattning om vilka integritetsintrång som kan komma i fråga när myndigheten har så stora datasamlingar. Övriga remissinstanser har inte kommenterat förslaget särskilt. Skälen för regeringens förslag Undantag från rätten att motsätta sig behandling För att erhålla ett material som är lämpligt för studier, uppföljningar och utvärderingar är det nödvändigt att IFAU får behandla personuppgifter, även om den registrerade motsätter sig detta. Merparten av de person- uppgifter som IFAU hanterar är uppgifter som inhämtats från andra myndigheter och som är avidentifierade när de kommer till IFAU. IFAU har således inte tillgång till sådana uppgifter som krävs för att myndig- heten ska kunna kontakta den enskilde och inhämta dennes samtycke till behandlingen. Om personens samtycke skulle vara nödvändigt för att behandla uppgifterna, skulle IFAU i praktiken vara tvunget att försöka härleda de avidentifierade personuppgifterna till en enskild person. En sådan ordning skulle i sig kunna innebära en integritetskränkning. Av 12 § andra stycket personuppgiftslagen (1998:204) framgår att en registrerad, med vissa undantag, inte har rätt att motsätta sig sådan behandling som är tillåten enligt personuppgiftslagen. Utformningen av bestämmelsen gör det svårt att i en särskild registerförfattning endast hänvisa till den bestämmelsen som grund för rätten att behandla personuppgifter. En särskild bestämmelse med motsvarande innehåll bör därför föras in i den nya lagen. Samtyckeskrav för viss typ av behandling Både Justitiekanslern och Datainspektionen anser att det uttryckligen bör göras ett undantag från den ovan föreslagna bestämmelsen för de fall då uppgifter inhämtas direkt från den enskilde. IFAU samlar in personuppgifter direkt från enskilda endast i de fall institutets studier, uppföljningar eller utvärderingar görs på grundval av enkäter eller intervjuer. Det har förutsatts att inhämtningen och behandlingen av dessa uppgifter sker med ett i vart fall implicit samtycke. Regeringen delar dock Justitiekanslerns och Datainspektionens uppfattning att det kan vara motiverat med ett uttryckligt undantag i lagen från bestämmelsen att behandling som är tillåten enligt lagen får utföras även om den enskilde motsätter sig behandlingen. Det är även motiverat med ett uttryckligt krav på samtycke för behandlingen. Den föreslagna bestämmelsen riskerar annars att komma i konflikt med den frivillighet som bör prägla deltagandet i enkät- eller intervjuundersökningar. När det gäller insamling av denna typ av uppgifter kan inte heller själva inhämtandet av samtycket i sig anses innebära något ytterligare intrång i den personliga integriteten. Av 23 § personuppgiftslagen följer att vid insamling av person- uppgifter direkt från den enskilde ska den personuppgiftsansvarige självmant lämna den vars personuppgifter ska registreras information om hur uppgifterna kommer att behandlas. Den information som ska lämnas ska enligt 25 § samma lag omfatta uppgift om den personuppgifts- ansvariges identitet, uppgift om ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, om skyldighet att lämna uppgifter och om rätten att ansöka om information och få rättelse. Förutsatt att detta sköts på rätt sätt anser regeringen att den enskilde bör anses vara kapabel att själv kunna avgöra vilka risker för den personliga integriteten en viss typ av behandling av personuppgifter innebär. Regeringen delar således inte Arbetsförmedlingens uppfattning att förslaget genom samtyckeskravet innebär att risken för otillbörliga intrång i den personliga integriteten läggs över på den enskilde. En annan sak är att samtycket inte helt kan Prop. 2011/12:176 Prop. 2011/12:176 ersätta andra regler som har till syfte att åstadkomma ett skydd för den personliga integriteten. Ett lämnat samtycke måste alltid kunna återkallas. För återkallelse av ett lämnat samtycke bör 12 § personuppgiftslagen tillämpas. Enligt ordalydelsen gäller paragrafen bara för återkallelse av samtycken som har lämnats i enlighet med personuppgiftslagens bestämmelser. En sär- skild bestämmelse om att denna bestämmelse ska tillämpas även för samtycken som har lämnats i enlighet med den nya lagen måste därmed tas in i lagen. Hänvisningen till 12 § personuppgiftslagen innebär att ytterligare per- sonuppgifter om den enskilde inte får behandlas efter återkallelsen. Behandlingen av redan insamlade uppgifter får dock fortsätta i enlighet med det ursprungligen lämnande samtycket. Uppgifterna får dock inte uppdateras eller kompletteras. Med hänsyn till personuppgiftslagens krav på kvaliteten hos de personuppgifter som behandlas, kan detta i praktiken innebära att uppgifterna måste utplånas eller avidentifieras för att de blivit inaktuella, ofullständiga eller oanvändbara för det ändamål för vilket de samlades in. Det är viktigt att den enskilde i samband med inhämtandet av samtycket till behandlingen informeras om vilken verkan en återkallelse av ett lämnat samtycke har. Även om 12 § personuppgiftslagen inte innebär en skyldighet att gallra de uppgifter som redan samlats in och behandlats enligt det ursprung- ligen lämnade samtycket, kan det ändå vara lämpligt att gallra sådana uppgifter, om det kan ske utan större olägenhet och inte innebär att åtgärder måste vidtas som i sig kan anses utgöra större risker för integritetsintrång än en fortsatt behandling av uppgifterna. IFAU strävar dock efter att av integritetshänsyn så snart som möjligt avidentifiera identitetsangivna uppgifter och i det fortsatta arbetet endast arbeta med uppgifterna i avidentifierat skick. De uppgifter som IFAU behandlar och som är direkt hänförliga till enskilda individer skickas som regel till SCB eller annan statistikförande myndighet för avidentifiering och samman- koppling med andra uppgifter, varpå IFAU får tillbaka materialet avidentifierat. För det fall IFAU skulle ha en skyldighet att i sådana fall gallra uppgifterna om ett samtycke återkallas, skulle myndigheten vara tvungen att vidta åtgärder för att åter knyta uppgifterna till en viss person, vilket många gånger skulle innebära ett större intrång i den personliga integriteten än en fortsatt behandling av uppgifterna. 5.4 Förhållandet till personuppgiftslagen Regeringens förslag: Personuppgiftslagen ska gälla vid behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildnings- politisk utvärdering, om inte annat följer av den nya lagen eller av föreskrifter som har meddelats i anslutning till denna. Promemorians förslag: Överensstämmer med regeringens. Regeringens förslag har dock en något annorlunda redaktionell utformning. Remissinstanserna: Kammarrätten i Stockholm anser att den föreslagna regleringen i denna del är omodern och föråldrad. Kammarrätten anser att den föreslagna lagen bör gälla i stället för personuppgiftslagen (1998:204) och att de bestämmelser i personuppgiftslagen som ska tillämpas bör anges särskilt i den föreslagna lagen. Övriga remissinstanser har inte haft några synpunkter på förslaget. Skälen för regeringens förslag: Enligt 2 § personuppgiftslagen ska, om det i annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, de bestämmelserna gälla i stället för personuppgiftslagens bestämmelser. Personuppgiftslagen är således subsidiär i förhållande till särregleringar i andra författningar. I de flesta fall konstrueras särregleringar vad gäller personuppgiftsbehandling så att särregleringen endast kompletterar eller ersätter personuppgiftslagen i frågor som är specifika för de verksamheter som omfattas av särlagstiftningen. Detta innebär att myndigheten måste beakta såväl den särskilda registerförfattningen som personuppgiftslagen vid sin behandling av personuppgifter. Alternativet är en heltäckande reglering av all personuppgiftsbehandling i en viss verksamhet. Ofta kompletteras en sådan reglering med en uppräkning av vilka regler i personuppgiftslagen som trots allt ska tillämpas. Denna lagstiftningsteknik har bl.a. använts i den lag som reglerar Skatteverkets personuppgiftsbehandling. I lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet anges följaktligen uttryckligen vilka bestämmelser i personuppgiftslagen som ska gälla i verksamheten. Anledningen till detta anges i förarbetena vara att man på det sättet uppnår en större tydlighet och överskådlighet för tillämparna. Lagrådet riktade dock i det lagstiftningsärendet kritik mot den valda lagstiftningstekniken som man ansåg otillfredsställande och riskfylld. Trots att regeringen i just detta fall valde att inte ändra lagstiftningsteknik (prop. 2000/01:33 s. 88), har regeringen i andra lagstiftningsärenden avvisat denna typ av lagkonstruktion med hänvisning till Lagrådets uttalanden (se exempelvis prop. 2002/03:135 Behandling av personuppgifter inom socialförsäkringens administration, s. 46 f.). I samband med införandet av exempelvis polisdatalagen (2010:301) godtogs dock åter denna lagstiftningsteknik. Kammarrätten i Stockholm anser att det finns ett mycket stort värde i att inte lämna tillämparen utan vägledning beträffande vilka bestämmelser i personuppgiftslagen som är tillämpliga. Kammarrätten förordar därför den lagstiftningsmodell som innebär att den föreslagna lagen ska tillämpas i stället för personuppgiftslagen och att de bestämmelser i personuppgiftslagen som ska tillämpas räknas upp i den särskilda registerförfattningen. Kammarrätten räknar också upp ett antal författningsförslag och lagar där denna lagstiftningsteknik har använts. Av det ovan anförda framgår att det finns exempel på båda lag- stiftningsmodellerna i gällande registerförfattningar. Regeringen anser dock att utgångspunkten i detta fall bör vara att den nya lagen och de föreskrifter som kan komma att meddelas i anslutning till denna endast bör ersätta eller komplettera personuppgiftslagen i frågor som är specifika för IFAU:s verksamhet. De särregler som behövs i förhållande till personuppgiftslagens regler är i detta fall förhållandevis få. IFAU:s särskilda registerlag bör endast innehålla de från ett ändamåls- eller Prop. 2011/12:176 25 Prop. 2011/12:176 integritetsskyddsperspektiv viktigaste särbestämmelserna i förhållande till personuppgiftslagens bestämmelser. Alternativet, att i den särskilda registerlagen heltäckande reglera vilka regler som ska gälla, passar bäst för verksamheter där det behövs ett stort antal undantag och särregler i förhållande till regleringen i personuppgiftslagen. Att i förevarande fall räkna upp alla de regler i personuppgiftslagen som fortfarande ska tillämpas i IFAU:s verksamhet skulle leda till en otymplig och föga tilltalande dubbelreglering. Mot denna bakgrund anser regeringen att den nya lagen endast bör innehålla de särregler som behövs för IFAU:s verksamhet och att personuppgiftslagen i övriga avseenden ska vara direkt tillämplig i verksamheten. Det finns förstås ett värde i att det blir tydligt för rättstillämparna vilka regler som ska tillämpas. Detta kan dock åstadkommas genom tydlighet i förarbetena. 5.5 Personuppgiftsansvar Regeringens förslag: Institutet för arbetsmarknads- och utbildnings- politisk utvärdering ska vara personuppgiftsansvarigt för den behand- ling av personuppgifter som institutet utför. Promemorians förslag: Överensstämmer med regeringens. Regeringens förslag har dock en något annorlunda redaktionell utformning. Remissinstanserna: Ingen av remissinstanserna har kommenterat för- slaget särskilt. Skälen för regeringens förslag: Med personuppgiftsansvarig avses enligt 3 § personuppgiftslagen (1998:204) den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Det bör i en särskild bestämmelse tydliggöras att IFAU är personuppgiftsansvarigt för den behandling av personuppgifter som utförs med stöd av lagen. Begreppet personuppgiftsansvarig ska ha samma innebörd i den nya lagen som i personuppgiftslagen. 5.6 Ändamålen för personuppgiftsbehandling vid IFAU Regeringens förslag: Personuppgifter ska endast få behandlas om det behövs för att fullgöra uppdraget att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Personuppgifter som behandlas för ovan nämnda ändamål ska dock även få behandlas för att fullgöra ett uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt ska den s.k. finalitetsprincipen gälla. Promemorians förslag: Överensstämmer med regeringens. Regeringens förslag har dock en något annorlunda redaktionell 26 utformning. Remissinstanserna: Merparten av remissinstanserna tillstyrker eller har inga invändningar mot förslaget. Datainspektionen anser dock att ändamålsbestämmelserna bör kopplas till de specifika ämnesområden inom vilka IFAU:s verksamhet bedrivs. Arbetsförmedlingen anser å sin sida att det vore lämpligt att använda formuleringen att behandlingen ska vara nödvändig, eftersom det är den formuleringen som används i personuppgiftslagen (1998:204). IFAU anser att det i förslaget skulle kunna tydliggöras vad som gäller för utlämnande av uppgift för forskningsändamål. Även Arbetsförmedlingen anser att förslaget kan förtydligas i denna del och föreslår att det i 6 § görs ett tillägg om att utlämnande får ske i enlighet med 24 kap. 8 § offentlighets- och sekretesslagen (2009:400). Statens skolverk framhåller att det är viktigt att det finns möjligheter för samverkan mellan verket och IFAU. Skälen för regeringens bedömning IFAU:s behov av att behandla personuppgifter Enligt 1 § första stycket förordningen (2007:911) med instruktion för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering ska institutet främja, stödja och genom forskning genomföra uppföljning och utvärdering av den arbetsmarknadspolitiska verksamheten, studier av arbetsmarknadens funktionssätt, utvärdering av effekter av olika reformer och åtgärder inom utbildningsväsendet, utvärdering av effekterna på arbetsmarknaden av åtgärder inom utbildningsväsendet och utvärdering av socialförsäkringens effekter på arbetsmarknaden. För sina studier, utvärderingar och uppföljningar är IFAU helt beroende av att kunna behandla olika typer av uppgifter. Verksamheten är huvudsakligen inriktad på analyser av s.k. mikrodata. Det handlar i vissa fall om uppgifter om exempelvis företag och arbetsställen. I de allra flesta fall handlar det dock om sådana uppgifter om individer som utgör personuppgifter i personuppgiftslagens mening. Vid effekt- och processutvärderingar av åtgärder och insatser inom arbetsmarknadspolitiken behöver institutet exempelvis behandla person- uppgifter om vilken insats en individ har deltagit i och hur individen påverkats av insatsen. Det kan t.ex. handla om att undersöka om insatsen lett till att individen lämnat arbetslösheten eller om personen är fortsatt inskriven som arbetssökande hos Arbetsförmedlingen. Vidare behöver institutet behandla olika personuppgifter som beskriver individers egenskaper, t.ex. uppgifter om kön, ålder, födelseland och hemort, så att utfallet kan relateras till deltagarnas förutsättningar och för att göra det möjligt att studera om effekterna skiljer sig åt mellan olika grupper. En effektutvärdering kräver också svar på frågan vad som hade hänt om individen inte hade deltagit i insatsen. För detta behöver IFAU kunna skapa lämpliga jämförelsegrupper med personer som är så lika dem som deltagit i en insats som möjligt. Detta kräver förståelse för de processer som styr deltagandet i en insats. Vad som är ett relevant utfall varierar mellan insatserna och kan innefatta både direkta arbetsmarknadsutfall (lön och sysselsättning) och utfall indirekt kopplade till arbetsmarknaden (hälsa, deltagande i utbildning, och studieresultat). För vissa uppdrag behöver IFAU även genomföra enkäter och intervjuer. Detta utgör dock en mindre del av institutets verksamhet. Prop. 2011/12:176 27 Prop. 2011/12:176 28 Detta arbetssätt används huvudsakligen för att fullgöra uppdrag från regeringen att göra processutvärderingar av arbetsmarknadspolitiska program eller åtgärder inom utbildningspolitiken. Typiskt sett sker insamlandet av uppgifter i sådana fall genom att ett frågeformulär skickas till exempelvis arbetsförmedlare eller till arbetssökande som deltar i ett specifikt arbetsmarknadspolitiskt program. Med hänsyn till det nyligen utvidgade uppdraget på utbildningsområdet kan det framöver även bli aktuellt att skicka enkäter till eller göra intervjuer med rektorer, lärare eller elever. Behovet av att behandla känsliga personuppgifter För att kunna fullgöra sitt uppdrag behöver IFAU i vissa fall även behandla sådana känsliga personuppgifter som avses i 13 § person- uppgiftslagen. Vilka överväganden som görs i denna del framgår av avsnitt 5.8. Behovet av personuppgifter från andra myndigheter Som framgått ovan är IFAU för sin forskningsverksamhet beroende av uppgifter från andra myndigheter. Merparten av uppgifterna hämtas från SCB som också är statistikansvarig myndighet för en stor del av arbetsmarknadspolitiken, se lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. IFAU hämtar även uppgifter från Arbetsförmedlingen samt från Försäkringskassan, som är en av två statistikansvariga myndigheter på socialförsäkrings- området. Med anledning av IFAU:s nyligen utvidgade uppdrag på utbildningsområdet kommer institutet framöver även i ökad omfattning ha anledning att vända sig till bl.a. kommuner, Sveriges Kommuner och Landsting, Statens skolverk och Högskoleverket för att inhämta underlag för sina studier, uppföljningar och utvärderingar. Avidentifierad och icke-avidentifierad data IFAU har i huvudsak endast behov av att behandla s.k. avidentifierad data. Här avses med avidentifierad data samlingar av personuppgifter som inte är direkt hänförliga till enskilda personer, dvs. sådana person- uppgifter där namn och person- eller samordningsnummer har ersatts av ett löpnummer. Till uppgiftssamlingen sparas en nyckel med koppling till namn, person- eller samordningsnummer hos den myndighet som levererat personuppgifterna till institutet. De uppgiftssamlingar som SCB tar fram på beställning av IFAU innehåller alltid endast avidentifierad data. IFAU har som framgått även behov av att i vissa fall behandla viss icke-avidentifierad data, såsom uppgifter om namn och adress, för att exempelvis kunna sända ut enkäter eller intervjuförfrågningar till enskilda. De personuppgifter institutet behöver behandla för utskick av enkäter är i sig inte känsliga, men då de indirekt kan avslöja exempelvis uppgifter som rör hälsa, kan behandlingen ändå innebära ett visst intrång i den enskildes personliga integritet. Kontaktuppgifter inhämtas främst från Arbetsförmedlingen, kommuner eller Försäkringskassan. IFAU kan också bli tvunget att, i vart fall i inledningsskedet av en studie, behandla identitetsangivna uppgifter för det fall uppgifter måste hämtas in från kommuner, myndigheter eller andra som saknar möjligheter eller resurser att avidentifiera uppgifterna på ett korrekt sätt. Avvägning mellan IFAU:s behov av att behandla personuppgifter och skyddet för den personliga integriteten IFAU:s samlingar av personuppgifter innehåller sammankopplade upp- gifter om enskilda från en eller flera myndigheter. IFAU har därmed tillgång till ett sammansatt material som kan vara förhållandevis om- fattande. Att personuppgifterna är avidentifierade minskar dock risken för intrång i den personliga integriteten. Eftersom IFAU är en mindre myndighet och endast ett begränsat antal personer kommer att arbeta med det inhämtade materialet, innebär behandlingen inte heller någon risk för spridning av uppgifterna till någon större krets. Därtill kommer att uppgifterna skyddas av en stark sekretess (se avsnitt 4.3). Den samlade bedömningen är att samhällsintresset av att IFAU kan fullgöra sitt uppdrag och att beslutade insatser kan följas upp och utvärderas, väger tyngre än hänsynen till de risker för integritetsintrång som behandlingen innebär för den enskilda individen. Behandlingen får dock inte gå utöver vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det är också viktigt att lämpliga skyddsåtgärder vidtas för att så långt möjligt avvärja de risker som behandlingen innebär. Ändamålen för behandlingen Enligt 9 § första stycket c personuppgiftslagen ska den personuppgifts- ansvarige se till att personuppgifter endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Den s.k. finalitetsprincipen i 9 § första stycket d samma lag innebär att personuppgifter sedan får behandlas för andra ändamål endast om dessa ändamål inte är oförenliga med de ändamål för vilka uppgifterna samlades in. I de fall en tänkt behandling inte omfattas av de ursprungliga ändamålen måste det alltså prövas om det nya ändamålet är förenligt med det ursprungliga ändamålet för behandlingen. Av 9 § andra stycket följer att behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål inte ska anses som oförenliga med de ändamål för vilka uppgifterna samlades in. Med hänsyn till ovanstående principer bör den nya lagen innehålla en uttrycklig reglering av tillåtna ändamål för personuppgiftsbehandlingen. Regleringen bör nära ansluta till IFAU:s kärnuppdrag såsom det beskrivs i 1 § första stycket i myndighetens instruktion. Ändamålen måste vidare vara tillräckligt preciserade för att det ska gå att kontrollera att person- uppgifter endast behandlas för avsedda ändamål. Mot denna bakgrund bör IFAU få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna fullgöra sitt uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Datainspektionen anser att ändamålsbestämmelserna även bör kopplas till de specifika ämnesområden inom vilka IFAU:s verksamhet bedrivs. IFAU:s verksamhet har dock förändrats över tid på så sätt att nya ämnesområden tillkommit. Uppdraget att genomföra studier, uppföljningar och utvärderingar har emellertid varit konstant. Det måste vara själva verksamheten som personuppgiftsbehandlingen ingår i, Prop. 2011/12:176 29 Prop. 2011/12:176 forskningsverksamhet i form av studier, uppföljningar och utvärderingar, som är mest relevant ur integritetssynpunkt. Det får i detta fall, där det handlar om samhällsvetenskaplig forskning, anses ha mindre betydelse ur integritetshänseende vilka specifika ämnesområden som studeras. För att inte lagen ska behöva ändras vid varje justering i myndighetens uppdrag, bör ändamålen i den föreslagna lagen vara något mer allmänt hållna än uppdraget enligt myndighetens instruktion och ändamålsbestämmelserna inte vara knutna till de specifika ämnesområden som pekas ut i instruktionen. I praktiken kommer dock instruktionen ändå styra inom vilka ämnesområden IFAU bedriver sina studier, uppföljningar och utvärderingar. Institutet får inte bedriva forskningsverksamhet som ligger utanför myndighetsuppdraget. Det uppdrag som IFAU har enligt sin instruktion kommer således rent faktiskt att ytterligare snäva in ändamålen för behandlingen av personuppgifter. Arbetsförmedlingen har noterat att det i promemorians lagförslag anges att IFAU ska få behandla personuppgifter i den utsträckning som behövs för att fullgöra uppdraget, medan det på andra ställen i promemorian i stället uttrycks så att behandlingen ska vara nödvändig för uppdraget. Med hänsyn till att det enligt personuppgiftslagen krävs att en behandling av personuppgifter är nödvändig för att den ska vara tillåten är det enligt Arbetsförmedlingen lämpligt att detta begrepp även används i den nya lagen. I personuppgiftslagen används begreppet nödvändig i ändamåls- bestämmelsen eftersom detta uttryckssätt används i dataskyddsdirektivet. I de flesta registerlagar av den karaktär som nu föreslås för IFAU har dock ändamålsbestämmelserna formulerats på så sätt att myndigheten får behandla vissa uppgifter om det behövs för vissa angivna ändamål. I dessa sammanhang anses de båda uttryckssätten vara synonyma. För innebörden av en ändamålsbestämmelse spelar det således ingen roll vilket begrepp som används. Att i detta lagstiftningsärende använda en annan formulering än den som används i andra liknande registerlagar, framstår inte som lämpligt. Mot denna bakgrund anser regeringen att bestämmelsen, på samma sätt som föreslogs i promemorian, bör utformas så att IFAU ska få behandla personuppgifter, om det behövs för att fullgöra uppdraget att främja, stödja och genom forskning genomföra uppföljningar, studier och utvärderingar. Personuppgiftsbehandling för utlämnande av uppgifter till andra Ändamål för behandling av personuppgifter som syftar till att en myndighet ska kunna utföra sitt uppdrag brukar kallas primära ändamål. Det kan emellertid utöver de primära ändamålen finnas allmänna intressen som motiverar att en myndighet även ska få behandla personuppgifter för andra ändamål än de som primärt ligger inom ramen för myndighetens egen verksamhet. Det kan exempelvis handla om att behandla personuppgifter för att lämna ut uppgifter till en annan myndighet för att den ska kunna fullgöra sitt uppdrag. Sådana ändamål brukar kallas för sekundära ändamål. Det kan inte anses ingå i IFAU:s kärnuppdrag att bistå myndigheter eller andra med personuppgifter och andra mikrodata. Huvudprincipen bör vara att de personuppgifter IFAU registrerar och behandlar som underlag för sin forskning ska stanna hos myndigheten. Det kan dock finnas fall då det får anses motiverat att IFAU får behandla person- uppgifter för utlämnande av uppgifter till andra. Det handlar då framförallt om utlämnande av uppgifter för statistik- eller forskningsändamål till andra myndigheter eller forskare. En förutsättning måste emellertid vara att ett sådant utlämnande också är förenligt med gällande sekretesslagstiftning. Ett utlämnande av personuppgifter ur allmänna handlingar med stöd av tryckfrihetsförordningen kan ske utan att utlämnandet behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten (jfr 8 § personuppgiftslagen). Ett sådant utlämnande förutsätter dock att hinder mot ett utlämnande inte föreligger till följd av sekretess. Av 6 kap. 5 § offentlighets- och sekretesslagen följer vidare att en myndighet på begäran av en annan myndighet ska lämna ut uppgifter som den förfogar över, i den mån det inte finns hinder mot ett utlämnande på grund av bestämmelser om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precisering av den allmänna samverkansskyldigheten myndigheter emellan som gäller enligt 6 § förvaltningslagen (1986:223). I 10 kap. offentlighets- och sekretesslagen finns vissa sekretess- brytande bestämmelser som innebär att annars sekretessbelagda uppgifter får lämnas ut i vissa situationer. En myndighet kan exempelvis lämna ut uppgifter till riksdagen eller regeringen med stöd av 10 kap. 15 § eller till Datainspektionen i dess egenskap av tillsynsorgan enligt 10 kap. 17 §. Av 10 kap. 28 § följer vidare att en myndighet kan vara skyldig att lämna ut uppgifter om en uppgiftsskyldighet följer av lag eller förordning. Gemensamt för ovan nämnda utlämnanden är att de sker med stöd av författningar som påbjuder eller tillåter ett utlämnande av uppgifter. Det får förutsättas att det gjordes en avvägning mellan intresset för ut- lämnande och intresset för den enskildes integritet när bestämmelserna infördes. Det saknas därmed skäl att i den nya lagen införa begränsningar i behandlingen av personuppgifter för utlämnande så länge utlämnandet sker i överensstämmelse med lag eller förordning. Det är vidare viktigt att det föreligger en överensstämmelse mellan förutsättningarna för behandling av personuppgifter och gällande sekretessreglering. För att det inte ska råda någon oklarhet om förhållandet mellan den föreslagna lagens ändamålsbestämmelser, offentlighets- och sekretesslagen och andra författningar som tillåter utlämnande av uppgifter, bör det införas en ändamålsbestämmelse som medger personuppgiftsbehandling för utlämnande som sker i överensstämmelse med lag eller förordning. En förutsättning för att IFAU ska få behandla personuppgifter för ut- lämnande måste vara att uppgiftslämnandet inte kan anses strida mot det ändamål för vilka uppgifterna samlades in i enlighet med den s.k. finalitetsprincipen (jfr 9 § första stycket d personuppgiftslagen). Behand- ling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål bör dock inte anses oförenlig med de ändamål för vilka upp- gifterna samlades in (jfr 9 § andra stycket personuppgiftslagen). Den nya lagen bör således även innehålla en uttrycklig hänvisning till finalitetsprincipen. Det är viktigt att i sammanhanget påpeka att de sekretessregler som gäller för IFAU:s verksamhet innebär att möjligheterna för institutet att Prop. 2011/12:176 31 Prop. 2011/12:176 lämna ut uppgifter som avser en enskilds personliga eller ekonomiska förhållanden är ytterst begränsade. Uppgifter som behövs för forsknings- eller statistikändamål eller som inte genom namn, annan identitets- beteckning eller liknande förhållande är direkt hänförliga till en enskild får dock lämnas ut, om det står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men, se 7 § offentlighets- och sekretessförordningen (2009:641) jämfört med 24 kap. 8 § offentlighets- och sekretesslagen (jfr även 12 § lagen (2003:460) om etikprövning av forskning som avser människor och 19 § personuppgiftslagen). Detta innebär att IFAU i varje enskilt fall måste göra en sekretessprövning innan uppgifterna lämnas ut till exempelvis en extern forskare eller en annan myndighet. I praktiken innebär det att utlämnanden huvudsakligen kommer att bli aktuella till forskare eller myndigheter som själva tillämpar s.k. statistiksekretess eller motsvarande. Såsom Arbetsförmedlingen mycket riktigt påpekat, är den s.k. generalklausulen i 10 kap. 27 § offentlighets- och sekretesslagen inte tillämplig på uppgifter som omfattas av sekretess enligt 24 kap. 8 § samma lag. Arbetsförmedlingen anser att det bör göras ett tillägg i 6 § om att ut- lämnade endast får ske i enlighet med 24 kap. 8 § offentlighets- och sekretesslagen. Enligt regeringens mening är det dock tillräckligt med den reglering som finns i offentlighets- och sekretesslagen i kombination med den föreslagna regleringen om att ett eventuellt uppgiftslämnande måste ske i överensstämmelse med annan författningsreglering. Skolverket har framhållit att det är viktigt att det finns möjligheter för samverkan mellan verket och IFAU eftersom de båda myndigheterna har ansvar för uppföljning och utvärdering inom delvis samma verksamhetsområde. Regeringen anser att rådande regelverk ger utrymme för samverkan genom utbyte av personuppgifter i den utsträckning som är önskvärd. 5.7 Elektroniskt utlämnande Regeringens bedömning: Det behövs inga särskilda regler om elektroniskt utlämnande av personuppgifter. Promemorians bedömning: Överensstämmer med regeringens. Ställ- ningstagandet motiveras dock inte särskilt i promemorian. Remissinstanserna: Datainspektionen anser att man kan behöva överväga särskilda bestämmelser kring elektroniskt utlämnande. Ingen annan remissinstans har särskilt kommenterat frågan. Skälen för regeringens bedömning: I de särskilda registerförfattningarna finns ofta bestämmelser som reglerar om, i vilka fall och på vilket sätt personuppgifter får lämnas ut elektroniskt. Syftet med sådana bestämmelser är att inskränka möjligheterna för utomstående att genom överföring av uppgifter i personregister förfoga över uppgifterna på ett sätt som innebär risker i integritetshänseende. I lagstiftningen görs i detta sammanhang ofta åtskillnad mellan utläm- nande av uppgifter genom direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling. Av förarbetena till lagen (2002:546) om behandling av personuppgifter i den arbetsmarknads- politiska verksamheten (prop. 2001/02:144 s. 31) framgår att med direktåtkomst avses att den som använder databasen via en dator på egen hand kan söka i denna och få svar på frågor, dock utan att själv kunna bearbeta eller på annat sätt påverka innehållet i databasen. Direktåtkomst kan även innebära att användaren ges möjlighet att hämta hem informationen till sitt eget system och bearbeta den där. Direktåtkomst har vidare ansetts innebära att uppgifter ur databasen lämnas ut utan att den utlämnande myndigheten i det enskilda fallet har kontroll över vilka uppgifter som lämnas ut. Direktåtkomst innebär också ofta att mottagaren rent tekniskt ges tillgång till fler uppgifter än som faktiskt får behandlas. För att detta ska vara tillåtet enligt regleringen om offentlighet och sekretess fordras normalt att det finns sekretessbrytande bestämmelser med ett relativt omfattande tillämpningsområde som inte endast tar sikte på uppgifter som får behandlas, utan som även bryter sekretessen för sådana uppgifter som endast gjorts tekniskt tillgängliga. Med utlämnande på medium för automatiserad behandling avses i stället ett överlämnande av elektroniskt lagrade uppgifter via något slags medium för lagring eller överföring, exempelvis e-post, USB-minne, CD-romskiva eller diskett. Ett utlämnande på medium för automatiserad behandling kan också ske genom direkt överföring från ett datorsystem till ett annat via telekommunikationsnätet. I dessa fall behåller den utlämnande myndigheten kontrollen över vilka uppgifter som lämnas ut. Direktåtkomst har ansetts innebära större risker ur integritetssynpunkt än ett överlämnande på medium för automatiserad behandling. I dag finns dock stora möjligheter att rent tekniskt begränsa tillgången i data- systemen på ett sådant sätt att det inte längre kan anses föreligga lika stora skillnader mellan de båda förfaringssätten i integritetshänseende. Det finns numera även särskilda bestämmelser om överföring av sekretess vid direktåtkomst (se 11 kap. 4 § och 11 kap. 8 § offentlighets- och sekretesslagen [2009:400], prop. 2007/08:160). Även om det görs en rättslig åtskillnad mellan olika former av elektro- niskt utlämnande i registerförfattningarna har den tekniska utvecklingen medfört att skillnaderna mellan direktåtkomst och annat uppgifts- utlämnande på automatiserad väg har blivit så små att det numera kan vara svårt att dra en skarp gräns mellan olika former av utlämnande (prop. 2007/08: 160 s. 58, 61 f. och 150). Begreppet direktåtkomst har också getts lite olika innebörd i olika författningar. Frågan om det finns skäl att upprätthålla en åtskillnad i registerförfattningarna mellan olika former av elektroniskt utlämnande utreds därför för närvarande (Informationshanteringsutredningen, Ju 2011:11). Nästan alla uppgifter som finns hos IFAU behandlas elektroniskt. Om ett utlämnande av uppgifter blir aktuellt sker detta normalt genom en fjärranslutning till en databas hos IFAU. Mottagaren av uppgifterna har dock inte någon möjlighet att påverka innehållet i databasen. Inför varje utlämnande sker en noggrann prövning av vilka uppgifter som ska lämnas ut och tillgången begränsas tekniskt till just de uppgifterna. Varje utlämnande kräver dessutom ett godkännande av generaldirektören. Rent tekniskt går utlämnandet till så att det skapas en kopia av en del av databasen som endast innehåller de data som mottagaren beviljats Prop. 2011/12:176 33 Prop. 2011/12:176 tillgång till och det är till den databasen fjärranslutningen sker. Anslutning sker således inte till själva grunddatabasen. I allmänhet byter IFAU dessutom ut de löpnummer som är knutna till uppgifterna. Uppgifterna i kopian har således inte samma löpnummer som uppgifterna i grunddatabasen. Vill mottagaren i ett senare skede komplettera de uppgifter han eller hon har fått tillgång till, så betraktar institutet det som ett nytt utlämnande som kräver en ny prövning och ett nytt beslut. IFAU behåller således hela tiden kontrollen över exakt vilka uppgifter som lämnas ut till mottagaren, även om det beroende på projekt kan handla om att mottagaren bereds tillgång till ett förhållandevis stort antal uppgifter. De rutiner som institutet för närvarande tillämpar innebär enligt regeringens mening inte att utlämnanden sker genom vad som kan betecknas som direktåtkomst. IFAU har redan väl utvecklade rutiner för utlämnande av uppgifter och utlämnandet sker på ett datatekniskt säkert sätt. Det bör vidare endast i undantagsfall bli aktuellt för IFAU att lämna ut personuppgifter ur sina samlingar till personer som inte på något sätt är knutna till myndighetens verksamhet. Regeringen anser därmed att det inte finns skäl att i lagen närmare reglera på vilket sätt institutet får lämna ut personuppgifter på elektronisk väg. Det är dock väsentligt att IFAU också fortsättningsvis ser till att inte fler eller mer känsliga personuppgifter görs tillgängliga för andra än vad som är nödvändigt med hänsyn till ändamålet för behandlingen och att säkrast möjliga teknik används vid överföringen. I detta sammanhang bör det framhållas att sättet för utlämnande av uppgifter, som tidigare framgått, inte enbart styrs av bestämmelser om behandling av personuppgifter. Det sätt på vilket uppgifter lämnas ut måste även ha stöd i sekretessregleringen. Som anges i det föregående fordras, för att direktåtkomst ska vara möjlig, vanligen särskilda sekretessbrytande bestämmelser med ett relativt omfattande tillämpningsområde till förmån för mottagaren av uppgifterna. IFAU bör således även i fortsättningen se till att tillämpa rutiner för utlämnanden som inte kan anses utgöra ett tillgängliggörande genom direktåtkomst. 5.8 Känsliga personuppgifter Regeringens förslag: Institutet för arbetsmarknads- och utbildnings- politisk utvärdering ska endast få behandla sådana känsliga person- uppgifter enligt 13 § personuppgiftslagen som avslöjar etniskt ur- sprung eller medlemskap i fackförening eller som rör hälsa. Promemorians förslag: Överensstämmer med regeringens. Regeringens förslag till författningstext har dock en något annorlunda redaktionell utformning. Remissinstanserna: Datainspektionen anser att det är bra att det införs en begränsning av vilka kategorier av känsliga personuppgifter som IFAU får behandla. Inspektionen utgår från att detta innebär att IFAU saknar lagligt stöd för att behandla andra kategorier av känsliga personuppgifter inom den verksamhet som lagen reglerar och att institutet i denna del inte kan stödja sig på personuppgiftslagen (1998:204). Det är vidare enligt inspektionen viktigt att poängtera att all forskning som faller in under tillämpningsområdet för lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) ska etikprövas och att en etikprövningsnämnd i samband med sitt godkännande kan ställa villkor för personuppgiftsbehandlingen som går utöver de krav som ställs i den föreslagna lagen eller i personuppgiftslagen. IFAU anser att förslaget innebär en inskränkning i möjligheterna att bedriva forskning som förutsätter tillgång till personuppgifter gällande ras, politiska åsikter, religiös eller filosofisk övertygelse och sexualliv. Tidigare har IFAU på samma sätt som andra forskande myndigheter haft möjlighet att genom en ansökan till en etikprövningsnämnd enligt etikprövningslagen söka stöd för behandling av sådana uppgifter för ett specifikt forskningsändamål. Att den möjligheten försvinner är naturligt- vis enligt institutet till nackdel för verksamheten. Tjänstemännens Centralorganisation (TCO) framhåller att det är rim- ligt att stor försiktighet gäller vid behandling av känsliga personuppgifter. Värdet av utvärderingar och analyser där dessa faktorer relateras till den förda politiken på det arbetsmarknadspolitiska och utbildningspolitiska området är dock betydande. Eftersom skyddet för den personliga integriteten i övrigt är väl tillgodosett, tillstyrker TCO förslaget. Inspektionen för arbetslöshetsförsäkringen ifrågasätter med hänsyn till skyddet för den personliga integriteten IFAU:s behov av att behandla uppgifter om medlemskap i fackförening. Övriga remissinstanser har inte kommenterat förslaget särskilt. Skälen för regeringens förslag IFAU:s behov av att behandla känsliga personuppgifter Det är enligt huvudregeln förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk över- tygelse eller medlemskap i fackförening. Det är även förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv. Dessa uppgifter utgör enligt 13 § personuppgiftslagen känsliga personuppgifter. Förbudet mot behandling av känsliga personuppgifter är dock inte absolut. Lagen innehåller en rad undantag från detta förbud (se ovan avsnitt 4.2). Regleringen av behandlingen av känsliga personuppgifter i person- uppgiftslagen följer i princip motsvarande reglering i dataskydds- direktivet. De undantag från förbudet mot behandling av känsliga personuppgifter som görs i personuppgiftslagen har således i huvudsak sina motsvarigheter i direktivet. Direktivet medger också att medlems- staterna beslutar om ytterligare undantag från förbudet, under förutsätt- ning att lämpliga säkerhetsåtgärder vidtas och att undantaget kan motiveras utifrån hänsyn till ett viktigt allmänintresse. En enskild bör, särskilt när det gäller behandling av känsliga personuppgifter, tillförsäkras en sfär som skyddas mot otillbörligt intrång från myndigheter och andra som uppfattas som utomstående. Den enskilde måste dock godta viss behandling av även känsliga personuppgifter när Prop. 2011/12:176 Prop. 2011/12:176 36 Det är svårt att i förväg beskriva vilka behov IFAU kan komma att ha av att behandla känsliga personuppgifter. Behoven kan också komma att förändras med det nyligen utvidgade uppdraget. Hittills har dock personuppgifter som rör hälsa haft störst relevans för IFAU:s arbete. Institutet har bl.a. haft behov av att behandla sådana uppgifter i samband med utvärderingar av insatser som baseras på den enskildes hälsotillstånd och på dennes därigenom utökade behov av hjälp och stöd från Arbetsförmedlingen. IFAU behandlar också uppgifter om personer som har en funktionsnedsättning som medför nedsatt arbetsförmåga. En uppgift som avslöjar en persons etniska ursprung är också en känslig personuppgift i personuppgiftslagens mening. Etniskt ursprung kan komma att avslöjas genom att flera uppgifter om en person behandlas i ett sammanhang, t.ex. uppgifter om födelseland och medborgarskap. Om uppgifterna sammantaget i ett enskilt fall avslöjar personens etniska ursprung utgör de känsliga personuppgifter, även om de inte är känsliga personuppgifter behandlade var för sig (jfr prop. 2009/10:85 s. 325). Datainspektionen har även ansett att en uppgift om en persons modersmål indirekt kan avslöja personens etniska ursprung (Datainspektionens rapport 2002:2 s. 8). Situationen på arbetsmarknaden för utrikes födda personer som har invandrat till Sverige är en fråga av stort intresse för IFAU. I det sammanhanget kan nämnas att Arbetsförmedlingen har särskilda insatser för vissa grupper av personer som nyligen har fått uppehållstillstånd i Sverige. Arbetsförmedlingen har också sedan den 1 december 2010 det samordnade ansvaret för att vissa grupper av nyanlända invandrare erbjuds insatser som främjar en snabb och effektiv etablering på arbetsmarknaden genom den s.k. etableringsreformen. Studier, uppföljningar och utvärderingar av etableringsreformen, övriga riktade insatser och situationen på arbetsmarknaden i övrigt för personer som har invandrat till Sverige utgör en viktig del av IFAU:s arbete. I det sammanhanget är personuppgifter som tillsammans med andra uppgifter riskerar att avslöja en persons etniska ursprung av intresse. I promemorian görs även bedömningen att uppgifter om enskildas medlemskap i fackförening kan vara av intresse för IFAU:s arbete. Inspektionen för arbetslöshetsförsäkringen ifrågasätter IFAU:s behov av att behandla sådana uppgifter. IFAU behöver dock framför allt få behandla uppgifter om fackligt medlemskap för att kunna bedriva viss forskning om arbetsmarknadens funktionssätt, i synnerhet forskning angående frågor som rör lönebildningen. I Sverige regleras villkoren på arbetsmarknaden i stor utsträckning genom kollektivavtal. Detta gäller inte bara löner utan även arbetstider, vissa förmåner och andra anställningsvillkor. Eftersom de fackliga organisationerna är parter i dessa avtal, kan utfallet exempelvis tänkas vara beroende av dels hur många, dels vilka av de anställda som är fackligt anslutna. Information om fackföreningsmedlemskap kan således bidra med kunskap om och förståelse för de mekanismer som ligger bakom lönebildningen. Information om fackanslutning kan även utgöra en förutsättning för annan typ av forskning, exempelvis studier av effekterna av medlemsförmåner (t.ex. kompletterande försäkringar vid arbetslöshet) och studier gällande diskriminering av organiserade respektive oorganiserade arbetstagare i samband med lönesättning. Av det ovan anförda framgår att IFAU har ett berättigat intresse av att kunna behandla vissa typer av känsliga personuppgifter. IFAU:s uppdrag att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar får vidare anses utgöra ett viktigt allmänintresse. Mot bakgrund av att merparten av de personuppgifter som behandlas är avidentifierade, att den krets som behandlar uppgifterna är liten och att stark sekretess gäller för verksamheten, får riskerna för oacceptabla intrång i den personliga integriteten anses vara förhållandevis små. IFAU bör därför ha rätt att behandla vissa känsliga personuppgifter vid fullgörandet av sitt uppdrag. Institutet bör dock inte få behandla fler kategorier känsliga personuppgifter än vad myndigheten faktiskt har behov av. IFAU bör därför endast ha rätt att behandla personuppgifter som avslöjar etniskt ursprung, medlemskap i fackförening eller som rör hälsa. Begränsningar och skyddsåtgärder beträffande behandling av känsliga personuppgifter IFAU påpekar att förslaget innebär en inskränkning i möjligheterna att bedriva forskning som förutsätter tillgång till personuppgifter gällande ras, politiska åsikter, religiös eller filosofisk övertygelse och sexualliv. Tidigare har institutet på samma sätt som andra forskande myndigheter haft möjlighet att genom en ansökan till en etikprövningsnämnd söka stöd för behandling av sådana uppgifter för ett specifikt forsknings- ändamål. Att den möjligheten försvinner är enligt institutet till nackdel för verksamheten. Det finns ett antal studier som blir omöjliga att genomföra med en lagstiftning i enlighet med förslaget. Det är enligt myndigheten svårt att veta hur pass begränsande detta är, men klart är att det i vart fall minskar möjligheterna att studera exempelvis diskrimineringsfrågor. Som både Datainspektionen och IFAU har konstaterat innebär för- slaget en inskränkning i förhållande till vad som gäller i dag ifråga om vilka känsliga personuppgifter som får behandlas i IFAU:s verksamhet. Som framgått ovan har också utgångspunkten varit att så få känsliga personuppgifter ska behandlas som möjligt. Det är också regeringens uppfattning att det är särskilt känsligt att registrera och behandla sådana personuppgifter som avslöjar uppgifter om ras, politisk åsikt, religion, filosofisk övertygelse och sexualliv. Sådana uppgifter bör bara få registreras och behandlas i yttersta undantagsfall. Behandling av sådana uppgifter hos IFAU bör endast vara tillåten om det finns ett behov av att behandla uppgifterna som utifrån ett viktigt allmänt intresse vid en intresseavvägning får anses väga tyngre än integritetsintresset. Regeringen anser att det i detta fall inte har framkommit så tungt vägande skäl för behandling att dessa uppgifter att dessa skäl väger tyngre än behovet av skydd för enskildas integritet. IFAU har särskilt påpekat att institutet bör ha möjlighet att behandla uppgifter om ras. Institutet medger dock att begreppet ras är ett sällan använt begrepp i svensk forskning, men menar att gränsdragningen mellan etnicitet och ras kan vara mycket svår att göra. IFAU vill därför att det förtydligas att ras och etnicitet kan ses som ett gemensamt begrepp och att även uppgifter om ras får behandlas. Prop. 2011/12:176 Prop. 2011/12:176 Både riksdagen och regeringen har i olika sammanhang kritiserat användningen av begreppet ras (se t.ex. bet. 1997/98:KU29 s. 7, rskr. 1997/98:185 och prop. 2007/08:95 s. 117). Regeringen har också aviserat ambitionen att i ett annat sammanhang se över frågan om huruvida ordet ras bör utmönstras ur all svensk lagstiftning (se prop. 2009/10:85 s.123). Mot denna bakgrund anser regeringen att begreppet ras bör undvikas i den nya lagen. En uppgift som skulle kunna klassificeras som en uppgift om ras skulle vidare lika gärna kunna anses utgöra en uppgift om etniskt ursprung. Regeringen anser därför att IFAU:s behov av att behandla denna typ av uppgifter får anses tillgodosedda genom möjligheten att behandla uppgifter som avslöjar etniskt ursprung. IFAU tar även upp frågan huruvida det med den föreslagna utform- ningen av lagen kommer att vara möjligt att behandla uppgifter om partnerskap. Enligt institutet är uppgifter om vilka individer som utgör en familj, vilket exempelvis kan definieras genom uppgifter om giftermål och partnerskap, viktiga i många studier. IFAU har tidigare inte uppfattat sådana uppgifter som känsliga personuppgifter gällande sexualliv. Datalagskommittén har tidigare berört frågan. Kommittén gjorde bedömningen att en uppgift om civilstånd i sig inte kunde anses vara en sådan uppgift som rör den registrerades sexualliv. I doktrinen har man dragit slutsatsen att detta även torde gälla en uppgift om partnerskap (se Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen En kommentar s. 288.) Regeringen har ingen anledning att göra någon annan bedömning. Enligt Datainspektionens uppfattning kan det dock inte uteslutas att en uppgift om registrerat partnerskap kan utgöra en känslig personuppgift. Eftersom det inom ramen för Arbetsförmedlingens verksamhet finns insatser som har som kvalificeringsgrund att en person har varit föremål för åtgärder inom kriminalvården, skulle IFAU kunna ha ett intresse av att även behandla sådana uppgifter. Sådana personuppgifter kan dock institutet i egenskap av myndighet redan behandla med stöd av person- uppgiftslagens bestämmelser (se 21 § personuppgiftslagen). Någon bestämmelse angående detta behöver därför inte införas i den nya lagen. Det bör i sammanhanget nämnas att det vid behandling av känsliga personuppgifter är särskilt viktigt att IFAU ser till att de uppgifter som behandlas är relevanta och adekvata, att inte fler uppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen och att uppgifterna inte bevaras under längre tid än vad som är nödvändigt ur forskningssynpunkt (9 § personuppgiftslagen). Det är också viktigt att institutet så långt möjligt vidtar tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 § personuppgiftslagen). IFAU:s skyldigheter i detta avseende följer av personuppgiftslagens bestämmelser. Det bör än en gång påpekas att all forskning som innefattar behandling av känsliga personuppgifter enligt 13 § eller uppgifter om lagöver- trädelser som innefattar brott m.m. enligt 21 § personuppgiftslagen måste etikprövas enligt etikprövningslagen. En etikprövningsnämnd har också möjlighet att förena ett godkännande av ett visst forskningsprojekt med villkor. Ett forskningsprojekt får bara innefatta behandling av sådana personuppgifter som avses i 13 eller 21 § personuppgiftslagen om personuppgiftsbehandlingen har godkänts vid etikprövningen (se 6 § etikprövningslagen). 5.9 Samlingar av avidentifierade personuppgifter Regeringens förslag: Institutet för arbetsmarknads- och utbildnings- politisk utvärdering ska för i lagen angivna ändamål få ha samlingar som innehåller personuppgifter och som behandlas automatiserat, under förutsättning att uppgifterna inte direkt kan hänföras till en person. Uppgifterna ska dock få vara försedda med en beteckning som hos den myndighet uppgifterna kommer från kan hänföras till ett personnummer eller motsvarande identitetsbeteckning. Prop. 2011/12:176 Promemorians förslag: Överensstämmer med regeringens. Promemo- rians lagförslag har dock en annan redaktionell utformning. Remissinstanserna: Varken Justitiekanslern eller Datainspektionen har kunnat tillstyrka förslaget i denna del på grundval av det underlag som presenteras i promemorian. Justitiekanslern framhåller att det ur integritetssynpunkt är önskvärt att behandling av personuppgifter inte sker i större omfattning än nödvändigt. Datainspektionen ifrågasätter IFAU:s behov av att bygga upp egna samlingar av personuppgifter som redan bevaras hos andra myndigheter. Inspektionen kan inte tillstyrka en sådan ordning, annat än som en tillfällig lösning till dess frågan utretts inom ramen för arbetet att se över SCB och systemet för den officiella statistiken. Övriga remissinstanser har inte kommenterat förslaget sär- skilt. Skälen för regeringens förslag Samlingar av personuppgifter Personuppgiftslagen (1998:204) innehåller inga särskilda definitioner eller begrepp som används för att beteckna olika typer av samlingar av personuppgifter. I stället gäller lagens bestämmelser generellt för all typ av behandling av personuppgifter. Det görs således som huvudregel ingen skillnad mellan olika former av behandling av sådana uppgifter. Från integritetssynpunkt kan det dock vara motiverat att uppgiftssamlingar som ger möjlighet till sammanställningar av en rad olika uppgifter om enskilda omgärdas av särskilda skyddsregler. En teknik är att utifrån begrepp som exempelvis register, databas, uppgiftssamlingar eller gemensamt tillgängliga uppgifter, ange särskilda skyddsregler. Register och databas är allmänt vedertagna begrepp som används för att beteckna större uppgiftssamlingar. Dessa begrepp förekommer också i registerförfattningar som innehåller särskilda skyddsregler för samlingar av uppgifter. I olika lagstiftningssammanhang har emellertid kritik framförts mot begrepp som leder till tekniska begränsningar. Det finns i dag mer moderna sätt att se på samlingar av personuppgifter i elektronisk form. Uppgifter förs numera in helt ostrukturerat och oorganiserat i olika filer i en dator, utan att det hindrar en effektiv hantering av uppgifterna. Det väsentliga är inte på vilket sätt Prop. 2011/12:176 uppgifterna är lagrade, utan i vilken omfattning uppgifterna är tillgängliga, sökbara och möjliga att sambearbeta. I avsnitt 4.1 beskrivs hur IFAU behandlar personuppgifter i dag. Även om det inte är optimalt att använda sig av begreppet databaser, är det ändå en bra beskrivning av hur personuppgifter hanteras hos IFAU i dag och av hur behandlingen med största sannolikhet kommer att se ut framöver. Begreppet databas används därför i både bakgrunds- och skälsavsnitt i denna proposition. I själva lagförslaget används emellertid det mer teknikneutrala begreppet samlingar av personuppgifter. IFAU:s behov av att bygga upp samlingar av avidentifierade personuppgifter Som framgått ovan hämtar IFAU in merparten av de uppgifter institutet behöver från SCB som i sin tur har hämtat in uppgifterna från en mängd olika källor. Det är vidare SCB som i normalfallet sammanställer och avidentifierar uppgifterna. Avidentifieringen innebär att varje enskild person inte längre kan identifieras genom namn, personnummer eller samordningsnummer. I stället förses varje person med en beteckning. SCB sparar dock en nyckel som kan användas för att knyta beteckningen till ett personnummer eller samordningsnummer. Beteckningen kan på så sätt användas för att identifiera de enskilda personerna på nytt. Detta är en förutsättning för att uppgifterna ska kunna uppdateras eller kompletteras och för att uppgifter ska kunna användas för att göra de kopplingar mellan exempelvis arbetsliv och utbildning som behöver göras för en viss studie. IFAU samlar till viss del in och behandlar personuppgifter som är relevanta för myndighetens uppdrag i en databas utan att uppgifterna kan sägas vara knutna till en viss pågående och avgränsad studie, uppföljning eller utvärdering. Nya uppgifter i form av uppdateringar och kompletteringar hämtas också in löpande. Denna typ av databas är viktig för att IFAU snabbt ska kunna utföra uppdrag på beställning från framförallt regeringen. IFAU har gjort gällande att institutet har behov av att, även efter det att det ovan nämnda godkännandet enligt lagen (2003:460) om etikprövning av forskning som avser människor löper ut (se ovan avsnitt 5.1), ha tillgång till den här typen av databas med personuppgifter. I promemorian föreslogs också att det skulle tas in en bestämmelse i den nya lagen som ger IFAU möjlighet att, för de ändamål som anges i ändamålsbestämmelsen i 5 § i lagförslaget, hålla samlingar av personuppgifter som behandlas automatiserat, utan att det finns något krav på att dessa samlingar skulle vara nödvändiga för en viss avgränsad och pågående studie, utvärdering eller uppföljning. Varken Justitiekanslern eller Datainspektionen har på grundval av det underlag som presenteras i promemorian kunnat tillstyrka förslaget i denna del. Justitiekanslern framhåller att det ur integritetssynpunkt är önskvärt att behandling av personuppgifter inte sker i större omfattning än nödvändigt. Justitiekanslern anser att det i promemorian endast anges övergripande varför det föreligger ett behov för IFAU att samla personuppgifter som redan finns tillgängliga hos andra myndigheter. Justitiekanslern saknar också en tydlig proportionalitetsavvägning mellan IFAU:s behov och de förväntade positiva effekterna av behandlingen. Även Datainspektionen ifrågasätter IFAU:s behov av att bygga upp egna samlingar av personuppgifter som redan finns hos andra myndigheter. Datainspektionen efterlyser en närmare beskrivning av skälen för att IFAU ska få bygga upp en egen databas med uppgifter från andra myndigheter. Det är enligt inspektionen inte önskvärt ur integritets- synpunkt att statliga myndigheter bygger upp parallella samlingar med uppgifter om medborgarna. Arbetsmarknadspolitiken utgör en viktig del av den ekonomiska politi- ken. Länder där en stor andel av befolkningen arbetar utvecklas bättre än länder med hög arbetslöshet. Detta är en av förklaringarna till att många länder, däribland Sverige, driver en ambitiös politik för hög sysselsättning och låg arbetslöshet. I Sverige omfattar statsbudgetens utgiftsområde Arbetsmarknad och arbetsliv utgifter på 60-90 miljarder kronor per år beroende på konjunkturläge. Utgiftsområdet utgör ca tio procent av statsbudgeten och är därmed en av de största posterna på statsbudgetens utgiftssida. Ur ett samhällsekonomiskt perspektiv är det därför av yttersta vikt att arbetsmarknadspolitiska reformer kan utvärderas och att de åtgärder och reformer som fungerar kan skiljas ut från dem som inte gör det. Det är också viktigt att öka kunskapen om hur arbetslöshetsförsäkringen och de arbetsmarknadspolitiska programmen och insatserna påverkar arbetsmarknadens funktionssätt. IFAU:s effektutvärderingar utgör således ett mycket värdefullt kunskapsunderlag för utformningen av arbetsmarknadspolitiken och den ekonomiska politiken. IFAU:s verksamhet ökar även kunskapen om effekterna av olika reformer och åtgärder på utbildningsområdet. Resultaten i grundskolan har stadigvarande sjunkit sedan 1990-talet, varför regeringen vidtagit en rad olika förbättringsåtgärder. Sverige är därmed inne i den största reformperioden i svenskt skolväsende sedan den allmänna folkskolan infördes 1842. Utbildningsområdets politiska och ekonomiska vikt med- för att behovet av beslutsunderlag av hög kvalitet är betydande. För att styrningen på området ska vara effektiv har regeringen även på detta område ett stort behov av utvärderingar avseende effekterna av olika politiska beslut, reformer och åtgärder. De stora reformer som genom- förts och håller på att genomföras, framförallt när det gäller barn-, ung- doms- och vuxenutbildningen, behöver utvärderas noga. IFAU behöver i detta sammanhang ta fram svar på om förväntade effekter av en reform uppnåtts och utifrån tillgängliga data och annan empiri göra analyser av uppmätta effekter. Det kan exempelvis handla om att försöka ta reda på vilken typ av utbildning som bäst förbereder unga för kommande yrkesverksamhet; arbetsplatsförlagt lärande eller undervisning i skolan. Kvalificerade och breda utredningar kräver tillgång till stora mängder data om enskilda som täcker in såväl information om utbildningsdeltagare, uppnådda resultat, tidigare och senare studier, arbetserfarenhet och annan verksamhet, som socioekonomisk information. Tillgång till databaser med information på individnivå gör att studier och utvärderingar av olika insatsers effekter kan göras utan att de individer som berörs åter tvingas lämna sådana uppgifter som redan finns hos andra myndigheter. IFAU:s samlingar av personuppgifter är konstruerade för att användas Prop. 2011/12:176 Prop. 2011/12:176 lagen är att möjliggöra för IFAU att mer långsiktigt hålla denna typ av databaser utan krav på att samlingarna ska vara knutna till ett visst avgränsat projekt eller utredningsuppdrag. Om IFAU i stället skulle vara tvunget att bygga upp nya och specifika databaser för varje enskild utvärdering, skulle institutet inte kunna fylla den funktion det har i dag. Att bygga upp en samling av personuppgifter för ett specifikt uppdrag kan enligt IFAU ta upp till ett år och i vissa fall ännu längre tid. Om IFAU för varje nytt projekt måste bygga upp en ny samling uppgifter, riskerar uppdragen att ta orimligt lång tid. Det är vidare, enligt IFAU, svårt att på förhand veta vilka personuppgifter som kommer att behövas för ett specifikt utredningsuppdrag. Det är inte alltid möjligt att i förväg förutsäga alla frågor som kan behöva besvaras inom ramen för ett visst projekt. Variabler måste kunna läggas till och tas bort under arbetets gång och hypoteser om möjliga ansatser att effektutvärdera måste kunna prövas och förkastas. Att i efterhand komplettera med ytterligare personuppgifter fördröjer ofta arbetet ytterligare, särskilt i de fall SCB på uppdrag av IFAU måste sätta samman personuppgifter som kommer från flera olika myndigheter. I värsta fall skulle det således kunna ta flera år att få en ny insats eller reform utvärderad. Eftersom framför allt arbetsmarknadspolitiken är ett politikområde som kan kräva snabba förändringar beroende på konjunktur, påverkar långa utredningstider riksdagens och regeringens möjligheter att i tid utvärdera redan beslutade insatser och åtgärder och i tid erhålla underlag för beslut om justeringar i insatserna eller om nya insatser eller reformer. Det är även viktigt att utvärderingar av reformer och åtgärder inom utbildningsväsendet inte tar längre tid än nödvändigt. Tillgång till redan befintliga databaser möjliggör för institutet att förhållandevis snabbt fullgöra olika typer av utredningsuppdrag. Med redan uppbyggda databaser kan data som kan användas för effektutvärderingar finnas tillgängliga med bara några månaders eftersläpning. Att skapa projektspecifika samlingar av personuppgifter är vidare kostsamt. Det finns därför en risk för att institutet skulle behöva begränsa underlaget av finansiella skäl, vilket i sin tur riskerar att få till följd att underlaget för institutets uppföljningar, studier och utvärderingar blir mindre omfattande och att slutresultatet blir kvalitetsmässigt sämre. Detta innebär i förlängningen att regeringen och riksdagen inte kommer att få ett fullgott underlag för att bedöma resultatet av beslutade insatser och reformer. För att säkra kvaliteten i institutets utvärderingar krävs att IFAU:s forskare får möjlighet att utveckla användandet av databaserna. Delar av detta utvecklingsarbete är svårt att utföra utifrån projektspecifika databaser. Det är också svårare att motivera stora tidsmässiga investeringar i kunskapsuppbyggnad och utveckling av nya arbetssätt, om inte forskarna har tillgång till varaktiga samlingar av uppgifter. Projektspecifika databaser är vidare alltid mer begränsade till innehåll och omfattning, varför det blir svårare att utifrån ett sådant material lära sig hur olika typer av uppgifter relaterar till varandra och vilka styrkor och svagheter de har. Om IFAU kan hålla egna samlingar av personuppgifter, kan institutet redan i dessa samlingar strukturera och anpassa uppgifterna så att de lämpar sig för forskning. Med egna databaser ökar slutligen IFAU:s möjligheter att återföra kunskap till de statistikansvariga myndigheterna och försöka påverka datainsamlingen. På så sätt kan IFAU bidra till att nya forskningsfrågor kan besvaras på sikt. På samma sätt kan kunskap om data bidra till att identifiera bra forskning. Dessa processer är av långsiktig natur och underlättas avsevärt med en varaktig datatillgång. Databaserna är vidare den enskilt viktigaste förklaringen till att IFAU har kunnat locka till sig så hög vetenskaplig kompetens inom kvantitativ empirisk forskning. Framför allt Datainspektionens invändningar mot förslaget synes bottna i en uppfattning att IFAU i stället för att bygga upp egna samlingar borde använda sig av SCB:s system för direktåtkomst, MONA. Detta system tillfredsställer dock i dag inte IFAU:s behov. Det handlar framförallt om att MONA inte är anpassat för de stora datamängder som IFAU har behov av för sina effektutvärderingar. Vissa av de uppgifter som institutet regelmässigt använder sig av, t.ex. delar av Arbetsförmedlingens datalager, finns inte heller tillgängliga via MONA. Det pågår dock ett arbete med att se över SCB och systemet för den officiella statistiken. Den utredning som har till uppgift att titta på dessa frågor ska bl.a. granska statistikkvaliteten och tillgängligheten till statistiken samt föreslå åtgärder för att förbättra förutsättningarna för registerbaserad forskning (Statistikutredningen, Ju 2011:05). Utredaren ska slutredovisa uppdraget senast den 10 december 2012. Därefter kan det emellertid ta lång tid innan de föreslagna åtgärderna leder till konkreta förändringar av nuvarande system. I den del av uppdraget som avser åtgärder för att förbättra förutsättningarna för registerbaserad forskning kommer förändringarna att ligga ännu längre fram i tiden, eftersom det nu inte ingår i utredningens uppdrag i denna del att komma med några förslag till författningsändringar. Sammanfattningsvis är regeringens bedömning att det för IFAU:s del inte går att avvakta med att genomföra de förändringar som krävs till dess översynen av systemet för den officiella statistiken är slutförd. Regeringen följer dock utvecklingen och det kan finnas anledning att ompröva IFAU:s behov av att bygga upp egna samlingar av personuppgifter när den nya ordningen är på plats. Mot den bakgrunden föreslås att den nya lagen ska tidsbegränsas. Se vidare avsnitt 6. För närvarande anser dock regeringen mot bakgrund av det ovan anförda att det är av yttersta vikt att IFAU snarast ges lagliga förutsätt- ningar att på ett mer långsiktigt sätt än i dag hålla och administrera samlingar av personuppgifter som inte nödvändigtvis måste vara knutna till en viss pågående studie, uppföljning eller utvärdering. Åtgärder och rutiner till skydd för den personliga integriteten En förutsättning för att IFAU ska få hålla och administrera nu aktuell typ av samlingar måste dock vara att de personuppgifter som ingår i samlingarna är avidentifierade. Det föreslås därför att samlingarna endast ska få innehålla uppgifter som inte direkt kan hänföras till en person. Uppgifterna ska dock få vara försedda med en beteckning som hos den myndighet som uppgifterna kommer ifrån kan hänföras till ett personnummer eller motsvarande. Prop. 2011/12:176 Prop. 2011/12:176 44 Det är även viktigt att andra skyddsåtgärder vidtas. IFAU ansvarar för att personuppgifterna i samlingarna inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Personuppgifter som inte längre behövs för att IFAU ska kunna fullgöra sitt uppdrag ska gallras (se vidare avsnitt 5.12). IFAU måste också se till att de uppgifter som behandlas är relevanta och adekvata och att inte fler uppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (se 9 § personuppgiftslagen). Här är det viktigt att IFAU noga prövar att de uppgifter som förs in i samlingarna är relevanta i förhållande till myndighetens uppdrag och att ändamålet för insamlandet av uppgifterna ligger inom ramen för ändamålsbe- stämmelserna i den nya lagen. Det är vidare i denna typ av samlingar särskilt viktigt att IFAU så långt möjligt vidtar tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas (31 § personuppgiftslagen). IFAU:s skyldigheter i det avseendet följer dock redan av personuppgiftslagens bestämmelser. Några särskilda bestämmelser angående detta behöver därför inte föras in i den nya lagen. IFAU har redan väl utvecklade interna rutiner för datauttag ur sina samlingar. Endast en person hos myndigheten, en systemadministratör, har tillgång till all mikrodata. Den forskare som ska genomföra en viss studie, uppföljning eller utvärdering får av systemadministratören beställa de uppgifter han eller hon anser sig behöva för sitt projekt genom att fylla i en blankett i en specifik och för ändamålet utvecklad dataapplikation. Forskaren måste där motivera varför han eller hon anser sig behöva uppgifterna. Ingår det känsliga personuppgifter i materialet görs en särskild behovsprövning. Efter att nu gällande godkännande av etikprövningsnämnden av forskning på grundval av IFAU-databasen löper ut, kommer det i dataapplikationen även krävas att det för varje enskilt projekt som kräver etikprövning finns ett godkännande från etikprövningsnämnden innan uttag får göras. Systemet är konstruerat så att det inte är tekniskt möjligt att göra uttag av uppgifter ur samlingarna förrän den elektroniska blanketten är korrekt ifylld och alla förutsättningarna för datauttag är uppfyllda. För vissa typer av uppgifter krävs vidare att forskarens begäran prövas av generaldirektören. Syftet med systemet är att så långt möjligt garantera att varje forskare endast får tillgång till de uppgifter som är nödvändiga för att genomföra det aktuella forskningsprojektet. För det fall det är fråga om ett utlämnande av uppgifter till en annan myndighet eller till någon extern forskare gäller särskilda rutiner. När det gäller dessa förhållandevis omfattande och varaktiga uppgiftssamlingar finns det naturligtvis än större anledning att överväga begränsningar av vilka typer av uppgifter som får behandlas. Som både Datainspektionen och Arbetsförmedlingen påpekat utgör avidentifiering av uppgifterna inte alltid ett tillräckligt skydd för den personliga integriteten när det handlar om större samlingar av personuppgifter. Stora samlingar av personuppgifter med många variabler gör det möjligt att identifiera enskilda, trots att det i materialet inte finns några uppgifter som är direkt hänförliga till en viss person. Det är mot denna bakgrund särskilt viktigt att det föreslås begränsningar av vilka känsliga personuppgifter som får behandlas i IFAU:s databaser. Som framgått ovan föreslås att IFAU:s möjligheter att behandla känsliga personuppgifter ska begränsas till uppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa. Denna begränsning gäller även för behandling av personuppgifter i nu aktuell typ av samlingar av personuppgifter (se ovan avsnitt 5.8). Samlad bedömning Det tjänar ett viktigt samhällsintresse att IFAU kan fortsätta att bedriva en effektiv och ändamålsenlig verksamhet. Med hänsyn till de skydds- mekanismer som omgärdar de uppgifter som behandlas, anser regeringen vid en samlad bedömning att intresset av att IFAU mer långsiktigt får behandla denna typ av uppgiftssamlingar får anses väga tyngre än den integritetskränkning som behandlingen riskerar att medföra. 5.10 Samlingar av personuppgifter i övrigt Regeringens förslag: Utöver de tidigare nämnda samlingarna av avidentifierade personuppgifter ska Institutet för arbetsmarknads- och utbildningspolitisk utvärdering endast få ha samlingar av personuppgifter som behandlas automatiserat om det behövs för att institutet ska kunna genomföra en viss avgränsad studie, uppföljning eller utvärdering. Promemorians förslag: Överensstämmer med regeringens. Förslaget i promemorian har dock en annan redaktionell utformning. Remissinstanserna: IFAU anser att det bör tydliggöras att identitets- angivna uppgifter inte uteslutande inhämtas via enkäter eller intervjuer. Arbetsförmedlingen anser att behandling av identitetsangivna person- uppgifter endast bör vara tillåten om uppgifterna omfattas av statistik- sekretess. Övriga remissinstanser har inte kommenterat förslaget särskilt. Datainspektionen och Justitiekanslern har dock anfört att behandling av personuppgifter som inhämtas direkt från den enskilde bör vara förenad med ett krav på samtycke. Denna synpunkt behandlas i avsnitt 5.3. Skälen för regeringens förslag: IFAU behandlar som huvudregel endast avidentifierade uppgifter. I vissa fall är det dock inte praktiskt möjligt att få uppgifterna i avidentifierat skick. Detta innebär att IFAU kan bli tvunget att ta emot identitetsangivna uppgifter. IFAU genomför ibland också studier, uppföljningar eller utvärderingar där det inte är tillräckligt att endast behandla avidentifierade personuppgifter. Det gäller bl.a. i de fall då underlaget för en studie, uppföljning eller utvärdering måste inhämtas genom enkäter eller intervjuer. Det kan exempelvis handla om att inhämta uppgifter från arbetsförmedlare eller deltagare i ett visst arbetsmarknadspolitiskt program. Med anledning av IFAU:s nyligen utvidgade uppdrag är det möjligt att enkäter eller intervjuer framöver även kommer att skickas till eller genomföras med personer inom utbildningsväsendet, t.ex. rektorer, lärare och elever. När IFAU genomför intervjuer eller enkäter uppkommer ett behov av att behandla personuppgifter. Det handlar bl.a. om behandling av Prop. 2011/12:176 45 Prop. 2011/12:176 46 kontaktuppgifter såsom namn och adress. Personuppgifter kan naturligtvis även tillföras ett projekt genom de svar på enkäter eller i samband med intervjuer som deltagarna lämnar till IFAU. Även om det främst kommer att bli aktuellt att behandla identitets- angivna uppgifter i samband med insamling av uppgifter via enkäter eller intervjuer, är det enligt IFAU lätt att se att även annan typ av in- formationsinhämtning av icke avidentifierat material kan bli nödvändig. I synnerhet kan det bli aktuellt att inhämta uppgifter rörande skola och undervisning med stöd av nu aktuell bestämmelse, eftersom det finns stora brister på statistiskt underlag både avseende skolverksamheten, t.ex. hur undervisningen bedrivs, och utfallet av denna verksamhet, dvs. uppnådda resultat. Det kan därför t.ex. bli aktuellt att för en viss studie samla in uppgifter från kommuner angående resultat från nationella prov. Det tjänar enligt regeringen ett viktigt allmänintresse att IFAU har möjlighet att även genomföra den här typen av studier, uppföljningar eller utvärderingar och att institutet för detta ändamål har möjlighet att skapa uppgiftssamlingar som innehåller personuppgifter. Person- uppgifterna kommer i huvudsak att vara lämnade frivilligt genom enkät- eller intervjusvar. IFAU bör dock även sträva efter att i de fall då det inte är nödvändigt att uppgifterna är identitetsangivna, avidentifiera personuppgifterna på sådant sätt att namn, personnummer eller samordningsnummer ersätts med annan form av beteckning. Eftersom ursprungsuppgifterna finns kvar hos IFAU kommer dock uppgifterna fortfarande bara att kunna behandlas inom ramen för en viss avgränsad studie, uppföljning eller utvärdering. Begränsningen att behandlingen ska vara nödvändig för att genomföra en viss avgränsad studie, uppföljning eller utvärdering kan användas för att begränsa tillgången till samlingarna till de personer som arbetar med respektive projekt, se begränsningar i tillgången avsnitt 5.11.4. Villkoret att behandlingen ska vara nödvändig för ett visst avgränsat projekt innebär också en möjlighet att begränsa möjligheterna till sambearbetning av uppgifterna, se avsnitt 5.11.3. Det bör vidare framhållas att begränsningen av vilka känsliga personuppgifter som får behandlas i IFAU:s verksamhet även gäller för här aktuell typ av samlingar. Vid en samlad bedömning anser regeringen att det får anses motiverat utifrån ett allmänt intresse att IFAU även i vissa fall får behandla icke- avidentifierade uppgifter om enskilda, och att de risker för den personliga integriteten som behandlingen medför inte får anses vara så allvarliga att behandlingen inte bör tillåtas av integritetsskäl. En förutsättning för detta måste dock vara att uppgifterna endast inhämtas och behandlas inom ramen för en viss avgränsad studie, uppföljning eller utvärdering. Att behandling av personuppgifter som inhämtas direkt från den enskilde också bör förutsätta att den enskilde uttryckligen har samtyckt till behandlingen framgår av avsnitt 5.3. Även när det gäller denna typ av personuppgifter är det viktigt att på- peka att uppgifterna inte får bevaras under längre tid än vad som är nöd- vändigt med hänsyn till ändamålen med behandlingen, se nedan avsnitt 5.12. Det är vidare viktigt att själva personuppgiftsbehandlingen även i övrigt uppfyller personuppgiftslagens krav (jfr 9 §) och att tekniska och organisatoriska åtgärder vidtas för att skydda uppgifterna (31 §). Arbetsförmedlingen anser att IFAU inte bör få behandla några uppgifter som direkt kan knytas till en person om inte uppgifterna omfattas av s.k. statistiksekretess. Regeringen konstaterar att IFAU:s studier, uppföljningar och utvärderingar omfattas av sådan sekretess (se 24 kap. 8 § offentlighets- och sekretesslagen [2009:400] och 7 § offentlighets- och sekretessförordningen [2009:641]). 5.11 Begränsningar i behandlingen av personuppgifter 5.11.1 Förbud mot behandling i syfte att identifiera enskilda personer Regeringens förslag: Personuppgifter som inte direkt kan hänföras till en person och som ingår i samlingar av personuppgifter som behandlas automatiserat ska inte få behandlas i syfte att röja en persons identitet. Prop. 2011/12:176 Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Datainspektionen är positiv till den föreslagna begränsningen eftersom den stärker integritetsskyddet. Ingen annan remissinstans har särskilt kommenterat förslaget. Skälen för regeringens förslag: IFAU behandlar och kommer genom den nya lagen ges möjlighet att även fortsättningsvis behandla en stor mängd personuppgifter, varav en del är känsliga i personuppgiftslagens (1998:204) mening. I den avvägning som har gjorts mellan IFAU:s behov av att behandla uppgifterna och skyddet för den enskildes integritet, har det utgjort en viktig faktor att de personuppgifter som behandlas i stor utsträckning är avidentifierade och att nyckeln till de enskilda personernas identiteter finns utanför myndighetens kontroll. I sådana samlingar av avidentifierade personuppgifter som IFAU kommer att ha möjlighet att hantera finns dock för varje enskild person flera olika poster med uppgifter, s.k. variabler. Behandling av personuppgifter med ett flertal variabler för varje enskild individ innebär alltid en risk för att en enskild persons identitet kan komma att röjas, även om de uppgifter som behandlas inte går att direkt hänföra till en viss person. Det bör därför i den för IFAU specifika lagen införas en begränsning som innebär att det inte blir tillåtet att behandla avidentifierade personuppgifter i syfte att röja en persons identitet (jfr ovan avsnitt 5.9). 5.11.2 Begränsning av sökmöjligheterna Regeringens bedömning: Den nya lagen bör inte innehålla några be- gränsningar av tillåtna sökbegrepp. Promemorians förslag: Lagförslaget i promemorian innehåller inte heller några bestämmelser som begränsar användningen av vissa sök- 47 Prop. 2011/12:176 48 begrepp. Valet att inte införa sådana bestämmelser har dock inte motiverats särskilt i promemorian. Remissinstanserna: Datainspektionen anser att det är viktigt att man i det fortsatta beredningsarbetet överväger behovet av begränsningar av sökmöjligheterna. Ingen annan remissinstans har berört frågan. Skälen för regeringens bedömning: Datainspektionen har anfört att det är viktigt att man i det fortsatta beredningsarbetet överväger behovet av begränsningar av sökmöjligheterna. Regeringen utgår från att inspektionen med det menar att regeringen bör överväga om det bör införas begränsningar i fråga om vilka sökbegrepp som får användas vid sökning i IFAU:s samlingar. I en databas eller annan textmassa som har lagrats på medium för automatiserad behandling är det möjligt att genom att ange ett s.k. sök- begrepp i en sökmotor söka igenom den lagrade informationen och hitta de poster där begreppet förekommer. På detta sätt är det möjligt att snabbt göra en sammanställning av personuppgifter i en databas. Är en myndighets samlingar av elektroniskt lagrade personuppgifter tillgäng- liga för sökning utan begränsningar, uppkommer utan tvivel betydande risker för otillbörliga intrång i enskilda personers integritet. Detta är anledningen till att man i myndigheternas särskilda registerförfattningar som regel har infört begränsningar av vilka sökvägar och sökbegrepp som får användas i myndigheternas system för automatiserad behandling. Vid bedömningen av vilka sökbegrepp som bör vara tillåtna måste en avvägning göras mellan intresset av effektivitet i en myndighets verk- samhet och risken för integritetsintrång. Något generellt förbud mot sökning i en databas är normalt sett inte motiverat. Ofta kan en sökmotor tvärtom vara ett värdefullt redskap i myndighetens verksamhet, utan att det för den sakens skull måste innebära risker för den personliga integriteten. Söktekniken bör kunna användas så länge den inte innebär en oacceptabel risk för otillbörliga integritetsintrång. Regler om begränsning av tillåtna sökbegrepp bör således ta sikte direkt på sådana typer av sökning som typiskt sett medför särskilda integritetsrisker. I vissa sådana fall måste integriteten ges företräde framför andra intressen, även om goda skäl i och för sig talar för att en viss typ av sökning eller behandling bör vara tillåten. Många registerlagar innehåller begränsningar av vilka sökbegrepp som får användas vid sökning i en databas, se t.ex. 14 § lagen (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten och 13 § lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen. Begreppet sökbegrepp hör dock främst samman med olika system för handläggningsstöd. Begreppet har begränsad relevans för den typ av samlingar av personuppgifter som IFAU arbetar med. För institutets samlingar är begreppet variabel mer adekvat. IFAU söker i sina studier svar på frågan om värdet på en variabel, t. ex. antal dagar i arbetslöshet, har betydelse i förhållande till en viss utfallsvariabel, t.ex. att en enskild har fått arbete. Forskningsmetodiken är ofta explorativ på så sätt att olika modeller med många variabler undersöks. De variabler som inte har någon betydelse för utfallsvariabeln utesluts. Då återstår samband som kan tolkas och utvärderas. Att leta samband bland många variabler, även bland sådana där uppenbara logiska samband saknas, har visat sig vara en effektiv och värdefull metod för att hitta ny kunskap. Det är därmed inte önskvärt att begränsa antalet variabler som IFAU får använda i sin verksamhet. Den personliga integriteten får därmed värnas genom andra typer av begränsningar för personuppgiftsbehandlingen. 5.11.3 Sambearbetning av personuppgifter Regeringens förslag: Personuppgifter som inte har avidentifierats på det sätt som avses i 8 § och som har samlats in för att behandlas inom olika avgränsade studier, uppföljningar eller utvärderingar ska inte få sambearbetas med varandra. Undantag från förbudet mot sambearbetning ska göras avseende sambearbetning som är nödvändig för att kunna upprepa eller följa upp en tidigare genomförd studie, uppföljning eller utvärdering. Promemorians förslag: Överensstämmer delvis med regeringens förslag. I promemorian fanns dock inget undantag från förbudet mot sambearbetning för upprepning eller uppföljning av en tidigare utförd studie, uppföljning eller utvärdering. Regeringens förslag har också en annan redaktionell utformning. Remissinstanserna: Datainspektionen är positiv till den föreslagna begränsningen av möjligheterna till sambearbetning av personuppgifter eftersom den stärker integritetsskyddet. IFAU anser däremot att lagförslaget i denna del har blivit onödigt restriktivt, då förbudet att sambearbeta uppgifter som behandlas med stöd av 9 § även gäller om uppgifterna avidentifieras hos IFAU. Övriga remissinstanser har inte kommenterat förslaget särskilt. Skälen för regeringens förslag: När uppgifter från en eller flera myndigheter sammanställs eller när annan direkt överföring av uppgifter görs från ett personregister till ett annat, brukar det benämnas sam- bearbetning (jfr prop. 2002/03:135 s. 58 f.). Sambearbetning av person- uppgifter anses innebära särskilda risker ur integritetssynpunkt. Sam- manläggning av personuppgifter från flera olika källor kan naturligtvis möjliggöra mer eller mindre omfattande kartläggningar av enskilda individer. Detta gäller särskilt för det fall det handlar om personuppgifter som är direkt hänförliga till vissa personer. IFAU behandlar till viss del identitetsangivna personuppgifter eller personuppgifter som visserligen är avidentifierade, men där myndigheten själv har tillgång till ursprungsmaterialet. Uppgifter som IFAU samlar in för ett sådant forskningsprojekt bör av ovan nämnda integritetsskäl endast få sambearbetas med uppgifter som samlats in inom ramen för samma projekt. Uppgifterna bör med andra ord inte få sambearbetas med personuppgifter som har samlats in för en annan studie, uppföljning eller utvärdering, eftersom det i det här fallet handlar om personuppgifter som, direkt eller indirekt, kan hänföras till en viss person, och den person som har lämnat uppgifterna ska ha rätt att utgå från att dessa bara kommer att behandlas inom ramen för det projekt han eller hon har tagit ställning till att medverka i. Utan närmare begränsning skulle det vara möjligt för IFAU att sam- bearbeta personuppgifter som har samlats in för att användas i olika Prop. 2011/12:176 49 Prop. 2011/12:176 50 studier, uppföljningar eller utvärderingar, förutsatt att det inte finns hinder mot en sådan sambearbetning redan på grund av bestämmelser i lagen (2003:460) om etikprövning av forskning som avser människor eller på grund av de villkor som satts upp i ett godkännande enligt samma lag. Det bör därför i den föreslagna lagen införas ett förbud mot sådan sambearbetning. Personuppgifter som är avidentifierade på så sätt att den nyckel som krävs för att knyta uppgifterna till en viss person förvaras hos den myndighet uppgifterna kommer ifrån, får dock anses mindre känsliga ur integritetssynpunkt och bör därför inte omfattas av förbudet. Det bör inte heller vara förbjudet att sambearbeta sådana personuppgifter med personuppgifter som inte är avidentifierade på detta sätt och som därmed endast får behandlas inom ramen för en viss studie, uppföljning eller utvärdering. En förutsättning för detta är dock att, för det fall uppgifterna har inhämtats direkt från en enskild, information om att sådan sambearbetning kan bli aktuell har lämnats till den enskilde i samband med att uppgifterna samlades in. För det fall det handlar om behandling av känsliga personuppgifter krävs dessutom att en sådan sambearbetning inte strider mot de villkor för personuppgiftsbehandlingen som etikprövningsnämnden har ställt upp i sitt beslut. Undantag från förbudet mot sambearbetning i vissa fall IFAU anser att promemorians förslag till förbud mot sambearbetning blivit onödigt strängt. Myndigheten förstår att det finns argument mot att tillåta sambearbetning av uppgifter som har samlats in för en avgränsad studie så länge uppgifterna är identitetsangivna. Om uppgifterna av- identifieras är det emellertid enligt myndigheten svårt att förstå varför det skulle finnas ett behov av att förhindra sambearbetning av två enkäter som gjorts inom ramen för två olika studier. Enligt myndigheten måste integritetsproblematiken rimligen anses löst genom avidentifieringen. In- stitutet anser att en lösning på denna problematik skulle kunna vara att förslaget ändras så att förbudet mot sambearbetning begränsas till att avse behandling av identitetsangivna uppgifter, i stället för till syftet med insamlingen (för en avgränsad studie). På så sätt kan ett tidigare identitetsangivet material efter avidentifiering behandlas utan att om- fattas av sambearbetningsförbudet. Avsikten är enligt institutet inte att sambearbeta data från flera olika studier, bara att jämföra två enkäter gjorda inom olika projekt, där man på förhand inte har kunnat förutse behovet av att göra en direkt jämförelse genom en statistisk analys. Som ett exempel kan nämnas att man på nytt kan vilja skicka ut en tidigare enkät till lärare för att se hur arbetssättet har förändrats efter exempelvis en förändrad läroplan. Regeringen delar IFAU:s uppfattning att det i vissa fall kan vara värdefullt att kunna upprepa en tidigare genomförd studie. En sådan möjlighet bör därför införas som ett undantag från förbudet mot sam- bearbetning av uppgifter som härrör från olika avgränsade studier. Den förändring av förslaget som IFAU föreslår är dock enligt regeringens mening alltför långtgående. Regeringen har svårt att se att icke avidentifierade uppgifter som har samlats in för en viss avgränsad studie, utvärdering eller uppföljning skulle kunna avidentifieras av myndigheten på ett sådant sätt, att förutsättningarna för behandling av uppgifterna med stöd av den bestämmelse som avser behandling av redan hos andra myndigheter avidentifierade uppgifter skulle kunna vara uppfyllda. Undantaget bör därför begränsas till sambearbetning i syfte att upprepa eller följa upp en tidigare genomförd studie. Det bör också påpekas att den nya studien måste vara förenlig med det ändamål för vilket de tidigare uppgifterna samlades in. För det fall känsliga personuppgifter kommer att behandlas krävs vidare ett godkännande från etikprövningsnämnden. För det fall det handlar om personuppgifter som inhämtas direkt från den enskilde, bör IFAU också tydligt informera de personer som deltar i den första studien om att uppgifterna kan komma att återanvändas vid en senare upprepning eller uppföljning av studien. Institutet måste därmed redan innan uppgifterna samlas in för den första studien ta ställning till om det kan finnas anledning att i framtiden upprepa eller på annat sätt följa upp den aktuella studien, uppföljningen eller utvärderingen. 5.11.4 Tillgången till personuppgifter Regeringens förslag: Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Prop. 2011/12:176 Promemorians förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Inspektionen för arbetslöshetsförsäkringen anser att bestämmelsen är för allmänt och oprecist formulerad. Den bör enligt inspektionen kompletteras med bestämmelser om att IFAU har en skyldighet att se till att personuppgifter ska vara förbehållna de personalkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna och att personuppgifter ska hanteras och förvaras på ett sådant sätt att obehöriga inte får tillgång till dem. Även Kammarrätten i Stockholm anser att lagförslaget bör kompletteras med en bestämmelse om att personuppgifter ska hanteras och förvaras på sådant sätt att obehöriga inte får tillgång till dem. Inga andra remissinstanser har kommenterat förslaget särskilt. Skälen för regeringens förslag: IFAU bör eftersträva en hög informationssäkerhet. Den som är behörig att behandla personuppgifter ska inte medges obegränsad tillgång till alla personuppgifter som be- handlas inom myndigheten. Med hänsyn till den mängd personuppgifter som IFAU ges rätt att behandla och förekomsten av sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och uppgifter om lagöverträdelser enligt 21 § samma lag, bör den nya lagen innehålla regler om begränsningar av behörigheten att behandla uppgifterna. I promemorian föreslås att tillgången till personuppgifterna ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Inspektionen för arbetslöshetsförsäkringen anser att den föreslagna bestämmelsen är för allmänt och oprecist formulerad. Inspektionen tycker bl.a. att bestämmelsen bör kompletteras med en föreskriven skyldighet för IFAU att se till att personuppgifter ska vara förbehållna de Prop. 2011/12:176 personalkategorier som på grund av sina arbetsuppgifter behöver tillgång till uppgifterna. Vid IFAU varierar behovet av tillgång till uppgifter inte bara mellan olika personalkategorier, utan även mellan anställda inom samma personalkategori. Administrativ personal behöver inte någon tillgång alls till de samlingar som omfattas av den föreslagna lagens tillämpnings- område. Forskarnas och utredarnas behov av tillgång till uppgifter varierar beroende på aktuellt uppdrag. Det är vidare så att inte endast anställd personal hos IFAU kan ha ett behov av att få tillgång till upp- gifter. Även om myndigheten i huvudsak genomför sina utvärderings- projekt med anställd personal händer det att projekten genomförs som samarbeten mellan egen personal och externa forskare. Genom att dra gränsen vid olika personalkategorier vid IFAU riskerar bestämmelsen därmed att bli på samma gång för vid och för snäv. Det väsentliga är att myndigheten ser till att ingen har större tillgång till uppgifter än vad denne har behov av för att kunna fullgöra sina arbetsuppgifter. Detta varierar således inte enbart på grundval av personalkategori, utan även på grundval av aktuell arbetsuppgift. Den som för närvarande endast arbetar med en viss avgränsad studie, har inte behov av att ta del av uppgifter i en annan avgränsad studie. Forskarna har inte heller behov av tillgång till de större avidentifierade samlingar som IFAU föreslås kunna hålla. Det kan vidare vara motiverat att inom ramen för samma forskningsprojekt göra skillnader i behörighetstilldelningen mellan exempelvis anställda på IFAU och externa forskare eller mellan de medverkande beroende på arbetsuppgift. Det är visserligen så att den föreslagna bestämmelsen är allmänt hållen, men den ger ändå klart uttryck för den grundprincip som ska gälla, samtidigt som den ger utrymme för anpassning på individnivå. Det kan inte anses lämpligt att i lag ange mer detaljerade riktlinjer för hur till- gången till personuppgifter bör avgränsas. Både Inspektionen för arbetslöshetsförsäkringen och Kammarrätten i Stockholm anser att författningsförslaget bör kompletteras med bestäm- melser om att personuppgifter ska hanteras och förvaras på ett sådant sätt att obehöriga inte får tillgång till dem. Den personuppgiftsansvarige, i detta fall IFAU, är enligt 31 § personuppgiftslagen skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de person- uppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen och hur känsliga de personuppgifter som behandlas är. Regeln är visserligen allmänt hållen men speglar ändå de överväganden som i normalfallet är relevanta att göra när man ska ta ställning till vilka säkerhetsåtgärder som måste vidtas i samband med en viss typ av behandling av personuppgifter. Avsikten med bestämmelsen är att regeringen eller den myndighet som regeringen bestämmer ska meddela de närmare föreskrifter som behövs. Datainspektionen har också utfärdat skriftliga allmänna råd om säkerhet för personuppgifter. I andra lagstiftningsärenden har det konstaterats att närmare riktlinjer för de säkerhetsåtgärder som bör vidtas vid behandling av personuppgifter, inte bör ges i lag utan vid behov hanteras på myndighetsnivå (prop. göra någon annan bedömning i detta lagstiftningsärende. Det bör därför inte föras in några särskilda bestämmelser om informationssäkerhet i den nya lagen utöver den föreslagna bestämmelsen om behörighets- tilldelning. Den reglering som finns i 31 § personuppgiftslagen får anses tillräcklig ur i integritetssynpunkt. 5.12 Gallring Regeringens förslag: Personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål som de behandlas för, om inte regeringen eller den myndighet som regeringen bestämmer har med- delat föreskrifter eller i ett enskilt fall beslutat att gallring ska ske senast vid en viss tidpunkt eller att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål. Prop. 2011/12:176 Promemorians bedömning: I promemorian föreslogs ingen särskild gallringsregel. Promemorians förslag innebar således att personuppgifts- lagens regler skulle tillämpas i denna del. Remissinstanserna: Datainspektionen anser att det är viktigt att för- slaget kompletteras med särskilda gallringsföreskrifter. Kammarrätten i Stockholm och Förvaltningsrätten i Linköping anser att särskilda gallringsregler bör övervägas. Riksarkivet anser å andra sidan att de grundläggande principer som kommer till uttryck genom arkivlagens presumtion för bevarande av allmänna handlingar ska gälla och att Riksarkivet ska få möjlighet att meddela föreskrifter om undantag från denna huvudregel. Inspektionen för arbetslöshetsförsäkringen konstaterar endast att förslaget inte innehåller några specifika gallringsregler. Övriga remissinstanser har inte kommenterat frågan. Skälen för regeringens bedömning: Enligt 9 § första stycket i personuppgiftslagen (1998:204) ska personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Därefter måste personuppgifterna utplånas eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter avlägsnas. En sådan avidentifiering måste innebära att bevarade uppgifter inte längre, vare sig direkt eller indirekt, går att hänföra till en viss fysisk person (se Sören Öman och Hans-Olof Lindblom, Personuppgiftslagen - en kommentar, fjärde upplagan s. 213 och 419). Uppgifterna ska med andra ord ha upphört att utgöra personuppgifter i personuppgiftslagens mening. Enligt 9 § tredje stycket personuppgiftslagen får dock personuppgifter bevaras för historiska, statistiska eller vetenskapliga ändamål under längre tid än vad som följer av första stycket. Personuppgifterna får dock inte bevaras under längre tid än vad som behövs för dessa ändamål. Detta innebär att personuppgifter som inte längre behövs för de ursprungligen bestämda ändamålen får bevaras för att användas för historiska, statistiska eller vetenskapliga ändamål. Personuppgifter som utgör allmänna handlingar kan dock enligt 8 § andra stycket första meningen personuppgiftslagen arkiveras och bevaras utan hinder av lagens övriga bestämmelser, vilket då i stället sker under Prop. 2011/12:176 de förutsättningar som anges i arkivlagen (1990:782). I 3 § arkivlagen föreskrivs att myndigheters arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser rätten att ta del av allmänna handlingar, behovet av information för rättsskipningen och förvaltningen samt forskningens behov. Allmänna handlingar får enligt 10 § samma lag endast gallras om återstående arkivmaterial kan tillgodose dessa ändamål, och det krävs särskilda föreskrifter eller ett beslut från en arkivmyndighet för att gallring ska få ske. Arkivlagens utgångspunkt är således att allmänna handlingar ska be- varas. I de särskilda registerförfattningarna angående behandling av personuppgifter i olika verksamheter är principen dock ofta den motsatta, nämligen att uppgifterna ska gallras senast efter en viss tid om inte undantag har föreskrivits i registerförfattningen eller i en bestämmelse meddelad med stöd av denna. Principen att gallring ska ske motiveras i första hand av integritetsskäl (prop. 1989/90:72 s. 50 f.). Behovet av särskilda gallringsbestämmelser måste således avgöras genom en avvägning mellan å ena sidan intresset av skydd för den personliga integriteten och å andra sidan intresset av offentlighet och insyn i myndigheternas verksamhet Kammarrätten i Stockholm förordar i detta lagstiftningsärende att mer handfasta gallringsregler än personuppgiftslagens regler övervägs, eftersom IFAU kommer att behandla en förhållandevis stor mängd personuppgifter, varav en del är känsliga, och då uppgifterna kommer att sparas i institutets databaser under lång tid. Förvaltningsrätten i Linköping anser på liknande grunder att regler om gallring bör komma till direkt uttryck i lagtexten. Domstolen anser att detta lämpligen kan ske genom införande av en bestämmelse om att personuppgifter som inte längre behövs för att IFAU ska kunna fullgöra sitt uppdrag, ska gallras. Inspektionen för arbetslöshetsförsäkringen konstaterar endast att det i förslaget saknas sådana specifika gallringsregler som finns i Inspektionen för arbetslöshetsförsäkringens registerlag. Datainspektionen anser att det är mycket viktigt att förslaget kompletteras med särskilda gallringsföreskrifter, då IFAU kommer att hantera en stor mängd personuppgifter, varav en del är känsliga, och då behandlingen kommer att ske för ett mycket brett formulerat ändamål. Riksarkivet anser å andra sidan att arkivlagens bestämmelser och presumtion för bevarande av personuppgifter ska gälla. Arkivlagen bygger på principen att myndigheternas arkiv ska bevaras som en garanti för rättsäkerhet, medborgerlig rätt till insyn och demokrati. Bevarandet ska med andra ord inte enbart ske för historiska, statistiska eller vetenskapliga ändamål. Det är av stor betydelse för den enskilde att allmänna handlingar bevaras i ursprungligt skick för att den enskilde ska kunna tillvarata sin rätt om felaktigheter har begåtts. Gallring innebär att uppgifterna förstörs och resulterar i en slutlig förlust av rätten att ta del av allmänna handlingar. Enligt Riksarkivets mening stärks inte heller den enskildes integritet genom att uppgifter gallras. Ett alternativt sätt att skydda den personliga integriteten är enligt myndigheten att de uppgifter som bevaras omfattas av sekretess. Genom förslaget kommer IFAU att ges möjlighet att även fortsättningsvis bygga upp och administrera varaktiga och förhållandevis s.k. känsliga personuppgifter. Merparten av de uppgifter som behandlas är inhämtade från andra myndigheter. IFAU kommer således att få bygga upp samlingar av personuppgifter som redan behandlas hos andra myndigheter. Detta talar för att IFAU bör åläggas en skyldighet att gallra personuppgifter som institutet inte längre behöver för sin verksamhet. IFAU ägnar sig huvudsakligen åt registerbaserad forskningsverksamhet. De skäl för bevarande av allmänna handlingar som Riksarkivet redogör för, gör sig därmed inte lika starkt gällande i institutets verksamhet som hos en myndighet vars verksamhet huvudsakligen innebär ärendehand- läggning eller annan form av myndighetsutövning gentemot enskilda. Eftersom merparten av de uppgifter som IFAU behandlar ursprungligen har inhämtats från andra myndigheter, får vidare intresset av att uppgifterna bevaras anses tillgodosett genom att de myndigheter uppgifterna kommer ifrån i stor utsträckning bevarar och arkiverar uppgifterna i enlighet med arkivlagens bestämmelser. Vid en samlad bedömning anser således regeringen att integritetsskyddsintresset i detta fall väger över intresset av att allmänna handlingar bevaras. Huvudregeln bör således vara att personuppgifter som IFAU inte längre behöver för sin verksamhet ska gallras. Regeringen delar således uppfattningen att det är motiverat att en särskilt gallringsregel införs i lagen. Frågan är dock hur denna regel bör vara utformad. Redan när dataskyddsdirektivet kom till och personuppgiftslagen infördes förutsåg man att det kunde finnas anledning att bevara person- uppgifter längre än vad som annars var motiverat för historiska, statistiska eller vetenskapliga ändamål. I IFAU:s fall sker redan själva insamlandet av uppgifterna för statistiska eller vetenskapliga ändamål. Det kan vara svårt att på förhand bestämma hur länge det kan vara relevant att spara uppgifter som har samlats in för dessa ändamål. Detta måste avgöras från fall till fall med hänsyn till vilka uppgifter och vilken studie, uppföljning eller utvärdering det handlar om. I vissa fall är det säkert fullt möjligt att gallra uppgifterna så fort ett projekt har avslutats, medan det i andra fall kan vara motiverat att spara underlaget under en förhållandevis lång tid för att kunna göra upprepade uppföljningar eller jämförelser över tid. Visst underlag kan vidare behöva bevaras för att möjliggöra vetenskaplig granskning av forskningsresultaten. Det är därmed svårt att föreslå mer handfasta gallringsregler än sådana som bygger på samma princip som bestämmelserna i personuppgiftslagen, nämligen att uppgifter inte ska bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Gallringsregeln bör således inte innehålla en bestämd tidsgräns för hur länge personuppgifter får bevaras. Gallringskyldigheten bör i stället formuleras som en skyldighet för myndigheten att gallra personuppgifter som inte längre behövs för sitt ändamål. Enligt Datainspektionen är det viktigt att i sammanhanget beakta att särskilda gallringsföreskrifter gäller för de uppgifter som härrör från Arbetsförmedlingen, se 16 § lagen (2002:546) om behandling av person- uppgifter i den arbetsmarknadspolitiska verksamheten. Om uppgifter som gallras hos Arbetsförmedlingen sparas hos IFAU, försvinner enligt Datainspektionen det integritetsskydd som gallringen hos Arbets- förmedlingen är tänkt att utgöra. Även beträffande de gallringsregler som gäller i Arbetsförmedlingens arbetsmarknadspolitiska verksamhet görs Prop. 2011/12:176 55 Prop. 2011/12:176 56 emellertid en åtskillnad mellan de uppgifter som härrör från själva ärendehandläggningen, och de uppgifter som avskiljs för statistik- ändamål. Huvudregeln är att uppgifter om en arbetssökande som varit aktuell hos Arbetsförmedlingen ska gallras två år efter utgången av det år då behandlingen av uppgifterna har avslutats i ett ärende. Uppgifter som har avskiljts för statistikändamål behöver dock gallras först efter tio år. Regeringen eller den myndighet som regeringen bestämmer får dessutom meddela föreskrifter om undantag från dessa gallringstider när det gäller bevarande av material för forskningens behov. Sådant material ska lämnas över till en arkivmyndighet. Enligt 21 § förordningen (2002:623) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten, får Riksarkivet meddela föreskrifter om sådana undantag från gallringsbestämmelserna. Riksarkivet har också utnyttjat den möjligheten (RA-MS 2008:32). De uppgifter som IFAU inhämtar från Arbetsförmedlingen används uteslutande för statistik- och forskningsändamål. Regeringen konstaterar att det inte är ovanligt att uppgifter får sparas längre för sådana ändamål än för andra ändamål för personuppgiftsbehandling. Att de uppgifter IFAU inhämtar ska användas för statistik- och forskningsändamål innebär dock inte att myndigheten kan bevara uppgifterna helt utan tidsbegränsning. Det är viktigt att institutet dels efter varje avslutat projekt, dels kontinuerligt prövar vilka uppgifter som måste bevaras för att myndigheten ska kunna fullgöra sitt uppdrag, och vilka uppgifter som kan utplånas eller gallras. Närmare föreskrifter om vilka krav som ska ställas på IFAU:s gallringsrutiner bör meddelas i föreskrifter på lägre nivå än lag. Beträffande särskilt känsliga personuppgifter, bör det dock finnas en möjlighet för regeringen eller den myndighet som regeringen bestämmer att besluta, antingen genom föreskrifter eller genom särskilda beslut, att uppgifter ska gallras vid en viss bestämd tidpunkt. Regeringen eller den myndighet regeringen bestämmer bör vidare ha möjlighet att besluta att personuppgifter som IFAU inte längre har behov av i sin verksamhet, och som myndigheten annars skulle ha en skyldighet att gallra, ska kunna bevaras för historiska, statistiska eller vetenskapliga ändamål, t.ex. i fall då uppgifterna inte finns bevarade hos andra myndigheter. Uppgifter som omfattas av ett sådant beslut eller av sådana föreskrifter ska dock inte förvaras hos IFAU, utan överlämnas till en arkivmyndighet (jfr prop. 2006/07:46 s. 108-113 och s. 193). Den föreslagna lagen utgör ett exempel på att riksdagen med stöd av 8 kap. 8 § regeringsformen meddelar föreskrifter inom ett område som normalt ligger inom ramen för regeringens restkompetens. Möjligheten för regeringen eller den myndighet som regeringen bestämmer att besluta att personuppgifter ska bevaras och överlämnas till arkivmyndighet utgör ett undantag från lagens huvudregel att gallring ska ske när uppgifterna inte längre behövs för det ändamål för vilket de samlades in. Såsom Lagrådet anfört föreligger det visserligen inte något hinder för riksdagen att besluta om kompetensfördelningen mellan riksdagen och regeringen på detta sätt, även om regleringen inte är att anse som en sådan delegation av normgivningsmakten som avses i 8 kap. 3-5 §§ regeringsformen. För att regeringen ska kunna meddela föreskrifter på ett sätt som avviker från huvudregeln måste emellertid detta, såsom Lagrådet påpekar, uttryckligen framgå av lagen. Det är med andra ord nödvändigt att i lagen markera var gränserna för det till lag upplyfta området går och på så vis tydliggöra vilka föreskrifter som regeringen eller den myndighet regeringen bestämmer fortfarande kan meddela, trots att riksdagen har gått in och lagstiftat på området. 5.13 Enskildas rättigheter 5.13.1 Information till den registrerade i form av registerutdrag Regeringens förslag: Ett undantag från informationsskyldigheten enligt 26 § personuppgiftslagen ska införas för personuppgifter som inte direkt kan hänföras till en person. Prop. 2011/12:176 Promemorians förslag: Överensstämmer med regeringens. Regeringens förslag har dock en något annorlunda redaktionell utformning. Remissinstanserna: Justitiekanslern anser att förslaget i denna del inte innebär någon förändring jämfört med nuvarande reglering och att bestämmelsen därmed är onödig. Det bör vidare enligt Justitiekanslern övervägas om det är lämpligt att införa ett undantag som saknar uttryckligt stöd i det EG-direktiv som genomförts genom personuppgiftslagen (1998:204). Justitiekanslern anser att frågan bör bli föremål för en mer ingående analys innan förslaget leder till lagstiftning. Ingen annan remissinstans har kommenterat förslaget särskilt. Skälen för regeringens förslag: En enskild person har rätt att utan kostnad en gång om året få ut ett registerutdrag där det framgår om personuppgifter om denne behandlas och i så fall vilka uppgifter som behandlas. En sådan möjlighet till insyn är av stor betydelse för att skydda den enskildes integritet och för möjligheten för den enskilde att begära rättelse av felaktiga uppgifter. Av 26 § första stycket personuppgiftslagen framgår att skriftlig information ska lämnas om a) vilka uppgifter om den sökande som behandlas, b) varifrån dessa uppgifter har hämtats, c) ändamålen med behandlingen, och d) till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas. Informationsskyldigheten i 26 § gäller dock inte om hinder mot utlämnande av uppgifterna föreligger med hänsyn till vad som är särskilt föreskrivet i lag eller annan författning eller i beslut som har meddelats med stöd av en författning. Författningsgrundade bestämmelser om sekretess eller tystnadsplikt går således före skyldigheten att lämna registerutdrag. Skyldigheten att lämna ut information om de personuppgifter som behandlas är förhållandevis lätt att uppfylla i de fall de personuppgifter IFAU behandlar är identitetsangivna. Merparten av de uppgifter IFAU behandlar är dock sådana att de inte direkt går att hänföra till en viss person. Myndigheten har med andra ord inte själv tillgång till de nycklar 57 Prop. 2011/12:176 58 som behövs för att kunna knyta uppgifterna till en viss individ. Dessa nycklar finns i stället bevarade hos andra myndigheter. I förarbetena till personuppgiftslagen ansåg regeringen det rimligt att utgå från att regleringen i 26 § personuppgiftslagen inte innebär mer än att den personuppgiftsansvarige är skyldig att utnyttja alla de sök- och sammanställningsmöjligheter som han eller hon har tillgång till för att få fram information att lämna till den registrerade (prop. 1997/98:44 Personuppgiftslag, s. 82 f.). Regeringen anslöt sig därmed till vad Datalagskommittén anfört i sitt betänkande (SOU 1997:39, Integritet, Offentlighet, Informationsteknik). Enligt kommittén var det inte rimligt att informationsskyldigheten skulle utformas på ett sådant sätt att den tvingar fram förfaranden som i själva verket kan hota den personliga integriteten. Den personuppgiftsansvarige bör, som kommittén såg det, bara vara skyldig att utnyttja alla de sök- och sammanställnings- möjligheter som han eller hon faktiskt och rättsligt har tillgång till för att få fram information att lämna till den registrerade. Därmed garanteras att den registrerade får tillgång till all information som den personuppgifts- ansvarige själv kan få fram om den registrerade. Merparten av de uppgifter IFAU behandlar är som framgått sådana att institutet inte har möjlighet att utan bistånd från andra myndigheter sammanställa ett registerutdrag över de uppgifter som behandlas. En skyldighet att sammanställa ett registerutdrag beträffande dessa person- uppgifter skulle innebära att institutet skulle vara tvunget att identifiera uppgifterna på ett sätt som i sig skulle innebära oönskade risker för intrång i den personliga integriteten. Regeringen delar därför den bedöm- ning som görs i promemorian att IFAU endast bör ha en skyldighet att lämna information enligt 26 § personuppgiftslagen i de fall myndigheten behandlar uppgifter som är direkt hänförliga till en person. Justitiekanslern, som visserligen inte har något att erinra mot förslaget utifrån ett integritetsskyddsperspektiv, ifrågasätter mot bakgrund av de ovan refererade förarbetsuttalandena om bestämmelsen är nödvändig. Nämnda förarbetsuttalanden gjordes dock i ett något annorlunda sammanhang. Det handlade främst om svårigheterna att sammanställa registerutdrag beträffande uppgifter i löpande text. Det är visserligen rimligt att åtminstone ett liknande resonemang kan appliceras på samlingar av avidentifierade uppgifter. Även om uttalandena ger visst stöd för ståndpunkten att IFAU inte bör vara skyldigt att vidta åtgärder som i sig skulle innebära risker för integritetsintrång, är det dock inte helt klart att uttalandena även täcker in den här aktuella situationen. Framför allt handlar det om hur man bör tolka vad som menas med att ha tillgång till uppgifter. IFAU har naturligtvis en möjlighet att med hjälp av den myndighet uppgifterna kommer ifrån åstadkomma ett sådant registerutdrag som avses i 26 § personuppgiftslagen, utan att detta skulle kräva en orimlig arbetsinsats för institutet. När det gäller de personuppgifter som IFAU inhämtar från statistik- ansvariga myndigheter får frågan anses omhändertagen genom bestäm- melsen i 18 § lagen (2001:99) om den officiella statistiken. Där före- skrivs att den som har mottagit på visst sätt avidentifierade uppgifter från en statistikansvarig myndighet, inte behöver lämna information till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. När det gäller lagen om den officiella statistiken har man uppenbarligen inte ansett att förarbetsuttalandena varit tillräckliga, utan valt att införa ett undantag från informationsskyldigheten i lag. IFAU inhämtar dock även uppgifter från andra myndigheter. För att även täcka in avidentifierade uppgifter som inhämtas från andra myndigheter, bör det enligt regeringens mening tydliggöras att skyldigheten att på begäran lämna registerutdrag till den registrerade inte gäller i fråga om personuppgifter som inte är direkt hänförliga till en person. Justitiekanslern anser dock att det bör övervägas om det är lämpligt att införa ett undantag som saknar uttryckligt stöd i det EG-direktiv som genomförts genom personuppgiftslagen. Justitiekanslern påpekar att lagstiftaren relativt nyligen, i strid mot Personuppgiftslagsutredningens (SOU 2004:6) förslag, valt att inte införa ett liknande undantag i 26 § personuppgiftslagen (prop. 2005/06:173). De skäl som då anfördes torde enligt Justitiekanslern göra sig gällande även här. De förarbetsuttalanden som Justitiekanslern hänvisar till i denna del rörde frågan om det var lämpligt att föra in ett mer generellt undantag från informationsskyldigheten i personuppgiftslagen för fall där det skulle visa sig omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats för den personuppgiftsansvarige att fullgöra informations- skyldigheten. Regeringen ansåg dock att en sådan mer generell lättnad i uppgiftsskyldigheten var för långtgående. Det får däremot anses rimligt att dra slutsatsen att en begränsning av informationsskyldigheten till sådana uppgifter som en myndighet har rättslig och faktisk tillgång till inte strider mot Dataskyddsdirektivet. Om så inte skulle vara fallet skulle även det tidigare refererade motivuttalandet, som gjordes i samband med att 26 § personuppgiftslagen infördes, strida mot direktivet. Enligt regeringens mening kan det av integritetsskäl vara motiverat att det klargörs i lagen att informationsskyldigheten inte innebär en skyldighet att vidta åtgärder som i sig skulle kunna utgöra ett integritets- intrång. För att det ska vara tydligt för IFAU var gränsen för deras informationsskyldighet går, bör det därför i lagen införas ett uttryckligt undantag från informationsskyldigheten i 26 § personuppgiftslagen. Motsvarande bedömning har uppenbarligen gjorts i Ds 2011:4, Behandling av personuppgifter vid Inspektionen för socialförsäkringen, m.m. Sammanfattningsvis delar regeringen den bedömning som görs i promemorian att lagen bör innehålla en regel som klargör för tillämparen att informationsskyldigheten inte gäller för personuppgifter som inte direkt kan hänföras till en person. 5.13.2 Rättelse eller skadestånd Regeringens förslag: Bestämmelserna i personuppgiftslagen om rättelse och skadestånd ska gälla för behandling av personuppgifter enligt den nya lagen eller enligt föreskrifter som meddelats i anslutning till denna. Promemorians förslag: Överensstämmer med regeringens. Prop. 2011/12:176 59 Prop. 2011/12:176 60 Remissinstanserna: Ingen av remissinstanserna har kommenterat för- slaget särskilt. Skälen för regeringens förslag: Reglerna i 28 § personuppgiftslagen (1998:204) om rättelse m.m. gäller endast för personuppgifter som har behandlats i strid med personuppgiftslagen. På motsvarande sätt gäller skadeståndsansvar enligt 48 § personuppgiftslagen endast för behandling av personuppgifter i strid med samma lag. Det finns därför skäl att särskilt föreskriva att uppgifter som behandlats i strid med den föreslagna lagen eller med föreskrifter som meddelats i anslutning till denna omfattas av personuppgiftslagens regler om rättelse och skadestånd. 6 Ikraftträdande Regeringens förslag: Den nya lagstiftningen ska träda i kraft den 1 januari 2013. Lagen ska gälla till och med den 31 december 2015. Promemorians förslag: Överensstämmer delvis med regeringens. I promemorian finns inget förslag om att lagen ska tidsbegränsas. Remissinstanserna: Ingen av remissinstanserna har haft några synpunkter på tidpunkten för ikraftträdandet. Förslaget att lagen ska tidsbegränsas har som framkommit ovan tillkommit i ett sent skede av lagstiftningsprocessen. Förslaget i denna del har beretts särskilt med Datainspektionen, Statistiska centralbyrån (SCB) och IFAU. Mot bakgrund av de invändningar som Datainspektionen tidigare har haft mot förslaget tycker inspektionen att det är positivt att den föreslagna lagen tidsbegränsas. IFAU anser däremot att en tidsbegränsning av lagen riskerar att skapa praktiska problem och en osäkerhet i arbetet med databaserna och infrastrukturen kring dessa. Samtidigt framstår skillnaderna när det gäller möjligheterna till kontroll och styrning som små; en lag som gäller tills vidare kan också ändras eller avskaffas. Då det är mycket angeläget att lagen kan träda i kraft den 1 januari 2013 menar dock IFAU att en tidsbegränsad lag är att föredra framför att problemen med nuvarande system kvarstår. SCB har inte yttrat sig i frågan. Skälen för regeringens förslag: Som tidigare framgått löper nuvarande godkännande från etikprövningsnämnden för den forskning som görs på grundval av den s.k. IFAU-databasen ut den 31 december 2012. Det är inte troligt att IFAU därefter kommer att få ett nytt godkännande som täcker de behov myndigheten har i dag. För att IFAU ska kunna fortsätta att fullgöra sitt uppdrag är det därför angeläget att den föreslagna lagen träder i kraft snarast, dock senast den 1 januari 2013. Som framgått ovan är systemet för den officiella statistiken för närvarande under utredning. Utredningen ska särskilt granska statistikkvaliteten och tillgängligheten till statistiken. Enligt ett tilläggsuppdrag som gavs till utredningen den 8 mars 2012 skulle utredningen också föreslå organisatoriska och tekniska åtgärder som kan underlätta för den registerbaserade forskningen. Ett delbetänkande i denna del lämnades den 1 maj 2012. Det ingick dock inte i tilläggsuppdraget att komma med några förslag till författningsändringar. En ny utredning kommer således att behöva tillsättas i denna del (se avsnitt 5.9.) Det kommer därför att ta tid innan ett nytt system för officiell statistik, som är bättre anpassat för registerbaserad forskning, kan vara på plats. När översynen av systemet för den officiella statistiken är slutförd kan det dock finnas anledning att ompröva IFAU:s behov av att bygga upp egna samlingar av personuppgifter. Det kan då även finnas skäl att ompröva behovet av en särskild registerlag för IFAU och att samtidigt utvärdera hur den nya lagen har fungerat i både forsknings- och integritetsskyddshänseende. Lagen bör därför tidsbegränsas. För att en utvärdering av lagen ska bli meningsfull måste dock lagen ha hunnit vara i kraft en tid innan utvärderingen görs. Regeringen gör därför bedöm- ningen att lagen bör gälla till och med den 31 december 2015. Det är visserligen riktigt, som IFAU anför, att även en lag som gäller tills vidare kan ändras eller upphävas. Genom att lagen tidsbegränsas åtar sig dock regeringen att senast efter en viss tid utvärdera lagen och ta ställning till om den ska permanentas, ändras eller ersättas av annan reglering. Som IFAU anför riskerar en tidsbegränsning av lagen att medföra vissa praktiska problem för myndigheten. Det blir bl.a. svårare för myndigheten att planera och fatta långsiktiga beslut om investeringar i databasstrukturen. Dessa olägenheter kan dock inte anses vara så betydande att de väger tyngre än skälen för att göra lagen tidsbegränsad. 7 Konsekvenser 7.1 Konsekvenser av att genomföra förslagen Det lagförslag som läggs fram i denna proposition förbättrar IFAU:s möjligheter att behandla personuppgifter för att fullgöra sitt uppdrag att främja, stödja och genom forskning genomföra uppföljningar, studier och utvärderingar. Genom förslagen får IFAU ett uttryckligt rättsligt stöd för att utan närmare tidsbegränsning hålla samlingar, databaser, med personuppgifter för automatiserad behandling, vilket gör institutets verksamhet mer förutsägbar. Förslaget underlättar också den prövning som andra myndigheter måste göra innan de bestämmer sig för att överlämna dataunderlag till IFAU. Förslaget ger institutet förutsättningar att bedriva sin verksamhet på ett effektivt och rättssäkert sätt samtidigt som det ger den enskilde ett fullgott skydd mot intrång i den personliga integriteten. Ett långsiktigt samarbete med SCB är en förutsättning för att IFAU:s dataförsörjning ska fungera på ett bra sätt. Att lagen tidsbegränsas riskerar naturligtvis att göra det svårare för båda myndigheterna att fatta beslut om investeringar i databasstrukturen. Denna olägenhet är dock inte så betydande att den väger tyngre än de skäl som framförts för att i ett första skede tidsbegränsa lagen. Prop. 2011/12:176 61 Prop. 2011/12:176 Ekonomiska konsekvenser Förslaget bedöms inte medföra några kostnader som ger upphov till finansiering med medel utöver vad som avsatts i befintligt budgetanslag. Konsekvenser för den personliga integriteten IFAU behandlar i dag personuppgifter med stöd av personuppgiftslagen (1998:204). Förslagen i denna promemoria bedöms ge institutet bättre förutsättningar att utföra sitt uppdrag samtidigt som skyddet för den personliga integriteten stärks i vissa avseenden. Förslagen innebär att IFAU får behandla vissa känsliga person- uppgifter. Detta innebär naturligtvis en viss risk för otillbörligt intrång i den personliga integriteten. Å andra sidan kommer de känsliga uppgifter som får behandlas med förslaget att begränsas till endast tre kategorier. Till skillnad från tidigare kommer det således att finnas ett absolut förbud mot att behandla andra känsliga personuppgifter än dessa. Målsättningen med lagförslaget är också att det ska utgöra en lämplig avvägning mellan skyddet för den enskildes personliga integritet och kravet på effektiv och ändamålsenlig verksamhet hos IFAU. De begränsningar för behandlingen som föreslås i form av ändamålsbestämmelser, begräns- ningar av vilka känsliga uppgifter som får behandlas och regler om hur uppgifterna får behandlas, bör utgöra ett tillräckligt skydd för den personliga integriteten. Att det i huvudsak är avidentifierade person- uppgifter som behandlas och att tillgången till uppgifterna är begränsad till en liten krets forskare bidrar också till att minska riskerna för den enskilde. Förslagen bedöms sammanfattningsvis kunna medföra vissa risker för otillbörliga intrång i den personliga integriteten, men riskerna bedöms inte vara så allvarliga att de får anses väga tyngre än intresset av att åstadkomma en effektiv och ändamålsenlig verksamhet hos IFAU. Konsekvenser för Sveriges internationella åtaganden Förslaget förväntas inte ha några konsekvenser som påverkar Sveriges åtaganden inom EU eller Europarådet. ILO:s konvention (nr 168) om främjande av sysselsättning och skydd vid arbetslöshet som kompletterar bl.a. ILO:s konvention (nr 122) om sysselsättningspolitik berör den arbetsmarknadspolitiska verksamheten. Konventionen innehåller dock inga regler om behandling av person- uppgifter. Vidare har ILO antagit riktlinjer som rör behandling av person- uppgifter för arbetstagare, Protection of workers' personal data - An ILO code of practice (ILO 1997). Riktlinjerna är inte rättsligt bindande men syftar till att ge vägledning i såväl övergripande regleringsfrågor som mer praktiska frågor som berör den enskilda arbetsplatsen. Det bedöms att förslagen inte kan anses strida mot Sveriges åtaganden enligt ratificerade ILO-konventioner. Övriga konsekvenser Förslagen bedöms inte få några särskilda konsekvenser för jämställd- heten, miljön eller några särskilda effekter för vare sig små eller stora företag. 7.2 Konsekvenser av att inte genomföra förslagen IFAU:s verksamhet ökar kunskapen om hur arbetslöshetsförsäkringen och de arbetsmarknadspolitiska programmen och insatserna påverkar arbetsmarknaden. Verksamheten ökar även kunskapen om effekterna av olika reformer och åtgärder på utbildningsområdet. Det är därför ett viktigt samhällsintresse att IFAU kan fortsätta att bedriva en effektiv och ändamålsenlig verksamhet. IFAU innehar och administrerar för närvarande en databas med personuppgifter som löpande uppdateras och ur vilken personuppgifter kan hämtas för olika projekt. Detta görs bl.a. med stöd av ett god- kännande från en regional etikprövningsnämnd. Godkännandet gäller för viss forskning baserad på uppgifter ur denna databas (se avsnitt 5.1). De förslag IFAU 2009 lämnade i sin skrivelse till regeringen (A2009/1438/A) tar sikte på den situation som med all sannolikhet kommer att uppstå när nuvarande godkännande från den regionala etik- prövningsnämnden löper ut. Om IFAU inte längre kommer att kunna hämta sitt underlag från en redan befintlig databas, kommer det att få konsekvenser för IFAU:s möjligheter att leverera utredningar inom rimlig tid, av god kvalitet och till en rimlig kostnad. Förslagen i denna promemoria syftar till att skapa förutsättningar för att institutet, även med ett vidgat uppdrag, ska kunna fortsätta att bedriva sin verksamhet på ett effektivt, ändamålsenligt och rättssäkert sätt. Att bygga upp en samling av personuppgifter för ett specifikt uppdrag tar enligt IFAU upp till ett år och ibland ännu längre tid. Om IFAU för varje nytt projekt måste bygga upp en ny samling uppgifter, riskerar uppdragen att ta orimligt lång tid. Det är vidare enligt IFAU svårt att på förhand veta vilka personuppgifter som kommer att behövas för ett specifikt utredningsuppdrag. Att i efterhand komplettera med ytterligare personuppgifter fördröjer ofta arbetet ytterligare, särskilt i de fall SCB på uppdrag av IFAU måste sätta samman personuppgifter som kommer från flera olika myndigheter. Eftersom arbetsmarknadspolitiken är ett politikområde som kan kräva snabba förändringar beroende på konjunktur, påverkar långa utredningstider även riksdagens och regeringens möjligheter att i tid utvärdera redan beslutade insatser och åtgärder eller att i tid erhålla underlag inför beslut om nya sådana insatser eller åtgärder. Det är även viktigt att utvärderingar av reformer och åtgärder inom utbildningsväsendet inte tar längre tid än nödvändigt. Om IFAU kan inhämta personuppgifter ur en redan befintlig databas, möjliggör det för institutet att mycket snabbare än annars kunna fullgöra olika typer av utredningsuppdrag. Att skapa projektspecifika samlingar av personuppgifter är vidare kostsamt. IFAU uppskattar kostnaden till upp till en halv miljon kr per databas. Det finns därför en risk att institutet skulle behöva begränsa Prop. 2011/12:176 63 Prop. 2011/12:176 underlaget av finansiella skäl, vilket i sin tur riskerar att få till följd att underlaget för institutets studier, uppföljningar och utvärderingar blir mindre omfattande och att slutresultatet blir sämre. Detta innebär i förlängningen att regeringen och riksdagen inte kommer att få ett fullgott underlag för att bedöma resultatet av beslutade insatser. Förslagen i denna proposition ska naturligtvis inte enbart motiveras utifrån intresset att förbättra möjligheterna till uppföljning och utvärdering. Det bör dock i sammanhanget poängteras att uppföljningarna och utvärderingarna syftar till att uppnå kostnadseffektivitet inom den arbetsmarknads- politiska verksamheten och utbildningsväsendet och en väl fungerade arbetsmarknads- och utbildningspolitik. 8 Författningskommentar 1 § I paragrafen anges lagens tillämpningsområde. Av första stycket framgår att lagen ska tillämpas i sådan verksamhet hos Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Tillämpningsområdet ansluter därmed nära till IFAU:s uppdrag enligt 1 § första stycket förordningen (2007:911) med instruktion för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Bestämmelsen i andra stycket utgör ett undantag från bestämmelsen i första stycket. Bestämmelsen innebär att lagen inte ska tillämpas i den del av IFAU:s verksamhet som innebär handläggning av ärenden om tilldelning av forskningsbidrag. I paragrafens tredje stycke begränsas lagens tillämpningsområde till viss typ av behandling av personuppgifter. Avgränsningen motsvarar den avgränsning som görs i 5 § personuppgiftslagen (1998:204). I de delar av IFAU:s verksamhet som faller utanför lagens tillämp- ningsområde enligt första stycket eller som omfattas av undantaget i andra stycket, tillämpas personuppgiftslagens bestämmelser om behandling av personuppgifter. Personuppgiftslagen är även tillämplig i de delar av myndighetens verksamhet som i och för sig omfattas av den nya lagens tillämpningsområde, men där någon särreglering i förhållande till personuppgiftslagens bestämmelser inte har gjorts, se nedan kommentaren till 3 §. Förslaget behandlas i avsnitt 5.2. 2 § Av första stycket följer att behandling av personuppgifter som är tillåten enligt denna lag, får utföras även om den registrerade motsätter sig behandlingen. Bestämmelsen motsvarar 12 § andra stycket person- uppgiftslagen. Bestämmelsen ska tillämpas vid all behandling inom lagens tillämpningsområde av sådana personuppgifter som inte har samlats in direkt från den enskilde. Bestämmelsen i andra stycket utgör ett undantag från huvudregeln i första stycket. Den innebär att sådana personuppgifter som samlas in direkt från den enskilde genom exempelvis enkäter eller intervjuer endast får behandlas om den enskilde uttryckligen har samtyckt till behandlingen. För återkallelse av ett lämnat samtycke ska 12 § personuppgiftslagen tillämpas. Detta innebär att den enskilde när som helst kan återkalla ett lämnat samtycke. En återkallelse kan göras skriftligt eller muntligt och ska göras till den personuppgiftsansvarige, i detta fall IFAU. Sedan återkallelsen gjorts och kommit till den personuppgiftsansvariges kännedom får ytterligare personuppgifter om den enskilde inte behandlas. Behandlingen av redan insamlade uppgifter får dock fortsätta i enlighet med det ursprungligen lämnade samtycket. Uppgifterna får dock inte uppdateras eller kompletteras. Med hänsyn till personuppgiftslagens krav på kvaliteten hos de personuppgifter som behandlas kan detta i praktiken innebära att uppgifterna måste utplånas eller avidentifieras för att de blivit inaktuella, ofullständiga eller oanvändbara för det ändamål för vilket de samlades in. Förslaget behandlas i avsnitt 5.3. 3 § Av paragrafen följer att personuppgiftslagen fortfarande gäller i den verksamhet hos IFAU som omfattas av denna lag, om behandlingen inte regleras särskilt i lagen eller i föreskrifter som har meddelats i anslutning till denna. Detta innebär att IFAU måste tillämpa personuppgiftslagen parallellt med den nya lagen. Personuppgiftslagen gäller således fortfarande i frågor där ingen särreglering har skett. I lagen används flera begrepp som har hämtats från personuppgifts- lagen, t.ex. behandling, personuppgift, personuppgiftsansvarig och sam- tycke. Dessa begrepp har samma innebörd i den nya lagen som i person- uppgiftslagen. Paragrafen har utformats i enlighet med Lagrådets synpunkter. Förslaget behandlas i avsnitt 5.4. 4 § Av paragrafen framgår att IFAU är personuppgiftsansvarigt för den behandling av personuppgifter som sker inom ramen för den verksamhet som omfattas av lagen. Personuppgiftsansvaret har samma innebörd som personuppgiftsansvaret enligt 3 § personuppgiftslagen. Paragrafen har utformats i enlighet med Lagrådets synpunkter. Förslaget behandlas i avsnitt 5.5. 5 § I paragrafen regleras för vilka s.k. primära ändamål personuppgifter får behandlas hos IFAU. Det handlar om sådan behandling av person- uppgifter som är nödvändig för att IFAU ska kunna fullgöra sitt uppdrag enligt 1 § första stycket förordningen (2007:911) med instruktion för Institutet för arbetsmarknads- och utbildningspolitiskpolitisk utvärdering. Prop. 2011/12: 176 65 Prop. 2011/12:176 66 Paragrafen har utformats i enlighet med Lagrådets synpunkter. Förslaget behandlas i avsnitt 5.6. 6 § I paragrafen klargörs att IFAU får behandla personuppgifter även för vissa ändamål som ligger utanför institutets egna verksamhetsområde, s.k. sekundära ändamål. Paragrafen klargör att behandling av personuppgifter är tillåten för att fullgöra en uppgiftsskyldighet enligt lag eller förordning eller i andra fall då ett utlämnande får anses förenligt med gällande författningsreglering. En förutsättning är dock att uppgifterna ursprungligen har behandlats för primära ändamål hos IFAU (se kommentaren till 5 §). I paragrafen klargörs även att bestämmelserna i 9 § första stycket d och andra stycket personuppgiftslagen (finalitetsprincipen) gäller även för den personuppgiftsbehandling som sker med stöd av den nya lagen. Finalitetsprincipen innebär att personuppgifter inte får behandlas för ett ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Behandling för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses som oförenlig med de ursprungliga ändamålen för behandlingen. Förslaget behandlas i avsnitt 5.6. 7 § I första stycket regleras i vilken utsträckning IFAU får behandla sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen. Av bestämmelsen framgår att IFAU endast får behandla tre kategorier av sådana personuppgifter. Bestämmelsen innebär således ett förbud mot behandling av övriga kategorier personuppgifter som betecknas som känsliga i 13 § personuppgiftslagen. Begränsningen av vilka känsliga personuppgifter som får behandlas gäller för all behandling av personuppgifter inom ramen för lagens tillämpningsområde, dvs. oavsett om uppgifterna behandlas i sådana databaser som regleras i 8 eller 9 § eller på annat sätt. I andra stycket finns en bestämmelse som upplyser om att det vid forskning som innefattar behandling av känsliga personuppgifter även krävs att forskningen prövas av en etikprövningsnämnd enligt lagen (2003:460) om etikprövning av forskning som avser människor. Att märka är att en etikprövningsnämnd i samband med sitt godkännande kan ställa villkor för personuppgiftsbehandlingen i ett forskningsprojekt som går utöver de krav som ställs enligt denna lag eller personuppgiftslagen. Paragrafen har utformats i enlighet med Lagrådets synpunkter. Förslaget behandlas i avsnitt 5.8. 8 § Paragrafen reglerar IFAU:s möjligheter att inneha samlingar av person- uppgifter i databaser eller motsvarande som inte nödvändigtvis är knutna till en viss avgränsad studie, uppföljning eller utvärdering. Möjligheterna att inneha sådana samlingar begränsas till samlingar av avidentifierade personuppgifter, där den nyckel som möjliggör identifiering av en enskild person finns kvar hos den myndighet från vilken personuppgifterna kommer. Paragrafen gäller även uppgifter som visserligen har samlats in för en viss avgränsad studie, uppföljning eller utvärdering, men som har avidentifierats på det sätt som beskrivs ovan och där IFAU således inte har direkt tillgång till den nyckel som krävs för att åter knyta uppgifterna till en viss person. Som en ytterligare förutsättning för behandlingen gäller att behandlingen ska vara nödvändig för de ändamål som anges i 5 §. Av 10 § följer att avidentifierade uppgifter inte får behandlas i syfte att röja en persons identitet. Bestämmelser om undantag från informationsskyldigheten vid behandling av avidentifierade uppgifter finns i 13 §. Paragrafen har utformats i enlighet med Lagrådets synpunkter. Förslaget behandlas i avsnitt 5.9. 9 § Paragrafen reglerar IFAU:s möjligheter att inneha samlingar av person- uppgifter som inte är avidentifierade på det sätt som avses i 8 §. Av paragrafen följer att sådana personuppgifter endast får behandlas om det behövs för en viss avgränsad studie, uppföljning eller utvärdering. Även i detta fall gäller att behandlingen måste vara nödvändig för de ändamål som anges i 5 §. I 11 § finns regler om begränsningar av möjligheterna att sambearbeta denna typ av uppgifter. Observera att paragrafen är tillämplig även på sådana personuppgifter som visserligen har avidentifierats, men där avidentifieringen har gjorts av IFAU. I sådana fall har nämligen institutet tillgång till ett grundmaterial som innehåller personuppgifter som är direkt hänförliga till en person eller en nyckel som gör det möjligt för institutet att återknyta uppgifterna till enskilda individer. Paragrafen har utformats i enlighet med Lagrådets synpunkter. Förslaget behandlas i avsnitt 5.10. 10 § Paragrafen innebär ett förbud mot behandling av avidentifierade personuppgifter i syfte att avslöja en persons identitet. Syftet med bestämmelsen är att förstärka skyddet för den personliga integriteten vid behandling av sådana personuppgifter som inte är direkt hänförliga till en person. Förslaget behandlas i avsnitt 5.11.1. 11 § Bestämmelsen i första stycket innebär ett förbud mot sambearbetning av personuppgifter som behandlas med stöd av 9 §. Personuppgifter som inte är avidentifierade i enlighet med villkoren i 8 § och som har samlats in för att behandlas i olika studier, uppföljningar eller utvärderingar får således inte sambearbetas med varandra. Begränsningen gäller däremot inte för sådana personuppgifter som behandlas med stöd av 8 §. Begränsningen gäller inte heller för sambearbetning av sådana person- Prop. 2011/12: 176 Prop. 2011/12:176 68 uppgifter som behandlas med stöd av 9 § med sådana personuppgifter som behandlas med stöd av 8 §. I andra stycket görs ett undantag från sambearbetningsförbudet i första stycket för sambearbetning av personuppgifter som är nödvändig för att upprepa eller följa upp en tidigare genomförd studie, uppföljning eller utvärdering. Paragrafen har utformats i enlighet med Lagrådets förslag. Förslaget behandlas i avsnitt 5.11.3. 12 § Av paragrafen följer att IFAU är skyldigt att se till att behörigheten att behandla personuppgifter begränsas till vad var och en behöver för att kunna utföra sina arbetsuppgifter. Syftet med begränsningen är att för- stärka skyddet för den personliga integriteten genom att se till att uppgifterna sprids till en så liten krets som möjligt. Bestämmelsen kompletteras av personuppgiftslagens regler om lämpliga säkerhets- åtgärder vid personuppgiftsbehandling. Av personuppgiftslagen följer exempelvis att IFAU är skyldigt att så långt möjligt se till att lämpliga tekniska och organisatoriska åtgärder vidtas för att skydda de person- uppgifter som behandlas (se 31 § personuppgiftslagen). Förslaget behandlas i avsnitt 5.11.4. 13 § Paragrafen innebär ett undantag från informationsskyldigheten i 26 § personuppgiftslagen för de fall där IFAU endast innehar personuppgifter som inte är direkt hänförliga till en person. Undantaget gäller även om personuppgifterna har försetts med någon slags beteckning, så länge IFAU inte inom myndigheten har tillgång till den nyckel som behövs för att åter knyta uppgifterna till en enskild individ. Förslaget behandlas i avsnitt 5.13.1. 14 § Paragrafen innehåller föreskrifter om gallring av personuppgifter. Bestämmelsen innebär en skyldighet för IFAU att gallra sådana person- uppgifter som inte längre behövs för något av de ändamål som anges i 5 och 6 §§. Detta innebär att uppgifterna ska utplånas eller avidentifieras på ett sådant sätt att alla identifieringsmöjligheter försvinner. Uppgifterna får med andra ord inte längre utgöra personuppgifter i personuppgifts- lagens mening. Paragrafen innehåller också bestämmelser som innebär att regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela föreskrifter eller i enskilda fall besluta på ett sätt som avviker från huvudregeln i lagen. Regeringen eller den myndighet som regeringen bestämmer kan dels meddela föreskrifter eller i ett enskilt fall besluta om en specifik tidsgräns för när vissa personuppgifter senast måste gallras, dels meddela föreskrifter om eller i ett enskilt fall besluta att personuppgifter som egentligen borde gallras får bevaras för historiska, statistiska eller vetenskapliga ändamål. Riksdagen lagstiftar här på ett område som normalt ligger inom ramen för regeringens s.k. restkompetens. Genom bestämmelsen markeras var gränserna för det till lag upplyfta området går och det tydliggörs vilka föreskrifter som regeringen eller den myndighet som regeringen bestämmer fortfarande kan meddela. Regeringen eller den myndighet som regeringen bestämmer ges också möjlighet att besluta om undantag i enskilda fall. Förslaget behandlas i avsnitt 5.12. 15 § Av paragrafen följer att personuppgiftslagens bestämmelser om rättelse och skadestånd ska tillämpas även vid personuppgiftsbehandling som sker med stöd av den nya lagen. När det gäller rättelse innebär bestämmelsen att den personuppgiftsansvarige, dvs. IFAU, i enlighet med 28 § personuppgiftslagen är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med den nya lagen eller i enlighet med föreskrifter som har meddelats i anslutning till lagen. IFAU har vidare en skyldighet att lämna underrättelse till tredje man i enlighet med vad som framgår av 28 § personuppgiftslagen. Beträffande skadestånd innebär bestämmelsen att den personuppgiftsansvarige, dvs. IFAU, i enlighet med 48 § personuppgifts- lagen ska ersätta den registrerade för skada och kränkning av den personliga integriteten som har orsakats av en behandling av personuppgifter i strid mot den nya lagen eller i strid mot föreskrifter som har meddelats i anslutning till lagen. Ersättningsskyldigheten kan dock jämkas enligt vad som framgår av 48 § andra stycket person- uppgiftslagen. Förslaget behandlas i avsnitt 5.13.2. Prop. 2011/12: 176 Prop. 2011/12:176 Bilaga 1 Sammanfattning av promemorian Promemorian innehåller förslag till en ny lag om behandling av person- uppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk ut- värdering (IFAU). Förslaget syftar till att på ett mer långsiktigt och förutsägbart sätt än i dag ge IFAU möjlighet att behandla personuppgifter i den utsträckning som institutet behöver för att på ett ändamålsenligt och effektivt sätt fullgöra sitt uppdrag. Samtidigt syftar förslaget till att dra upp de ramar för personuppgiftsbehandlingen som krävs för att åstadkomma ett full- gott skydd för den personliga integriteten vid institutets studier, upp- följningar och utvärderingar. Förslaget innehåller bl.a. bestämmelser om berättigade ändamål för personuppgiftsbehandlingen, om vilka uppgifter som får behandlas och om hur uppgifterna får behandlas. Den nya lagen föreslås träda i kraft den 1 januari 2013. Promemorians lagförslag Förslag till lag om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering Härigenom föreskrivs följande. Lagens tillämpningsområde 1 § Denna lag gäller vid behandling av personuppgifter i sådan verk- samhet hos Institutet för arbetsmarknads- och utbildningspolitisk ut- värdering som avser att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. Lagen gäller inte behandling av personuppgifter vid tilldelning av forskningsbidrag. Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukture- rad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. 2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen. Förhållandet till personuppgiftslagen 3 § Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk ut- värdering, om inte annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till denna lag. Personuppgiftsansvar 4 § Institutet för arbetsmarknads- och utbildningspolitisk utvärdering är personuppgiftsansvarigt för den behandling av personuppgifter som institutet utför. Ändamål 5 § Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får behandla personuppgifter om det behövs för att fullgöra uppdraget att främja, stödja och genom forskning genomföra studier, uppföljningar och utvärderingar. 6 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också behandlas för att fullgöra uppgiftsutlämnande som sker i överens- stämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204). Prop. 2011/12: 176 Bilaga 2 Prop. 2011/12:176 Bilaga 2 Känsliga personuppgifter 7 § Institutet för arbetsmarknads- och utbildningspolitisk utvärdering får i fråga om sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) behandla endast sådana uppgifter som avslöjar etniskt ursprung eller medlemskap i fackförening eller som rör hälsa. I lagen (2003:460) om etikprövning av forskning som avser människor finns bestämmelser om att forskning som innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen eller sådana uppgifter som avses i 21 § samma lag måste etikprövas. Samlingar av personuppgifter 8 § Om det behövs för de ändamål som anges i 5 §, får det hos Institu- tet för arbetsmarknads- och utbildningspolitisk utvärdering finnas sam- lingar av personuppgifter som behandlas automatiserat. Samlingarna får endast innehålla uppgifter som inte direkt kan hänföras till en person. Uppgifterna får vara försedda med en beteckning som, hos den myndig- het från vilken uppgifterna kommer, kan hänföras till ett personnummer eller motsvarande identitetsbeteckning. 9 § Om det behövs för de ändamål som anges i 5 §, får det hos Institu- tet för arbetsmarknads- och utbildningspolitisk utvärdering, utöver vad som anges i 8 §, finnas samlingar av personuppgifter som behandlas automatiserat om det behövs för att genomföra en avgränsad studie, uppföljning eller utvärdering. Begränsningar i behandlingen av personuppgifter 10 § Personuppgifter som inte direkt kan hänföras till en person och som behandlas i samlingar av personuppgifter får inte behandlas i syfte att röja en persons identitet. 11 § Personuppgifter som har samlats in för att behandlas i en av- gränsad studie, uppföljning eller utvärdering får inte sambearbetas med personuppgifter som har samlats in för att behandlas i en annan studie, uppföljning eller utvärdering Tillgång till personuppgifter 12 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Information 13 § Bestämmelserna i 26 § personuppgiftslagen (1998:204) om information efter ansökan ska inte gälla i fråga om personuppgifter som inte direkt kan hänföras till en person. Rättelse och skadestånd 14 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller för behandling av personuppgifter enligt denna lag eller enligt föreskrifter som har meddelats i anslutning till denna lag. Denna lag träder i kraft den l januari 2013. Prop. 2011112: 176 Bilaga 2 Prop. 2011/12:176 Bilaga 3 Förteckning över remissinstanserna Justitieombudsmannen, Justitiekanslern, Kammarrätten i Stockholm, Förvaltningsrätten i Linköping, Datainspektionen, Försäkringskassan, Inspektionen för socialförsäkringen, Arbetsgivarverket, Statskontoret, Statistiska centralbyrån, Statens skolverk, Arbetsförmedlingen, Institutet för arbetsmarknadspolitisk utvärdering, ILO-kommittén, Svenskt Näringsliv, Almega, Företagarna, Sveriges Kommuner och Landsting, Tjänstemännens Centralorganisation, Sveriges akademikers centralorganisation, Landsorganisationen i Sverige och Inspektionen för arbetslöshetsförsäkringen. Lagrådets yttrande Utdrag ur protokoll vid sammanträde 2012-06-13 Närvarande: F.d. justitierådet Dag Victor samt justitieråden Lennart Hamberg och Per Virdesten. Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering Enligt en lagrådsremiss den 31 maj 2012 (Arbetsmarknadsdeparte- mentet) har regeringen beslutat att inhämta Lagrådets yttrande över förslag till lag om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering. Förslaget har inför Lagrådet föredragits av kanslirådet Helene Magnus- son. Förslaget föranleder följande yttrande av Lagrådet: Prop. 2011/12:176 Bilaga 4 Allmänt Den föreslagna lagtexten tyngs av att institutets redan i lagens rubrik nämnda långa namn upprepas i en rad paragrafer. Mot bakgrund av bestämmelsen i 1 § om lagens tillämpningsområde, där institutets fullständiga namn bör anges, behövs inte någon hänvisning till institutet i flera av dessa paragrafer och i andra räcker det med att tala om institutet. 11 § Lagrådet föreslår att paragrafen utformas enligt följande: Personuppgifter som behandlas enligt 9 § och som har samlats in för att behandlas inom olika avgränsade studier, uppföljningar eller utvärderingar får inte sambearbetas med varandra. Denna begränsning gäller inte för en sådan sambearbetning av personuppgifter som är nödvändig för att kunna upprepa eller följa upp en sådan studie, uppföljning eller utvärdering som genomförts tidigare. 14 § I paragrafen finns en lagreglering av frågan när personuppgifter ska gallras. Förslaget utgör ett exempel på att riksdagen reglerar ett område som i och för sig ligger inom ramen för regeringens restkompetens enligt regeringsformen. I författningskommentaren uppges att den i lagen angivna möjligheten för regeringen att bestämma på annat sätt än enligt den i lagen angivna 75 Prop. 2011/12: 176 Bilaga 4 huvudregeln endast är en upplysning. Någon möjlighet för regeringen att bestämma på detta sätt skulle emellertid inte finnas om det inte uttryckligen framgick av lagen. Något hinder för riksdagen att besluta på detta sätt om kompetensfördelningen kan inte anses föreligga även om regleringen inte är en sådan delegation av normgivningsmakten som avses i 8 kap. 3 - 5 §§ regeringsformen. (Jfr Erik Holmberg m.fl., Grundlagarna, tredje upplagan, 2012, s. 398 samt Lagrådets yttranden i prop. 2011/12:45 s. 279 f, prop. 2011/12:68 s. 74 och 2011/12:77 s. 209). Arbetsmarknadsdepartementet Utdrag ur protokoll vid regeringssammanträde den 6 september 2012 Närvarande: Statsministern Reinfeldt, ordförande, och statsråden Björklund, Ask, Larsson, Erlandsson, Hägglund, Carlsson, Sabuni, Adelsohn Liljeroth, Norman, Attefall, Engström, Kristersson, Elmsäter-Svärd, Ullenhag, Hatt, Ek, Lööf Föredragande: statsrådet Engström Prop. 2011/12:176 Regeringen beslutar proposition Behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering 77